iOS漏洞攻擊鏈DarkSword鎖定加密錢包，iPhone攻擊開始走向變現

DarkSword攻擊鏈自2025年11月起即被Google觀測到，並持續出現在不同攻擊行動中；Lookout則在後續分析惡意基礎設施時還原出完整攻擊鏈，並與Google及iVerify共同確認該威脅並命名為DarkSword。

根據Google威脅情報團隊（GTIG）的分析，DarkSword並非單一漏洞，而是由6個安全漏洞串聯而成的完整攻擊鏈。攻擊首先利用Safari中的JavaScriptCore漏洞CVE-2025-31277與CVE-2025-43529取得遠端程式執行權，接著透過dyld中的CVE-2026-20700繞過Pointer Authentication Code（PAC）記憶體保護機制，為後續權限提升鋪路。

在突破初始防護後，攻擊鏈進一步利用CVE-2025-14174從Safari的WebContent程序橫向移動至GPU程序，再透過CVE-2025-43510進一步進入權限更高的系統服務mediaplaybackd，完成沙盒逃逸。最後再利用核心漏洞CVE-2025-43520取得核心層級讀寫權限，實現對裝置的全面控制。整體而言，這6個漏洞分別對應遠端程式執行、防護繞過、沙盒逃逸與核心權限提升等不同階段，影響範圍涵蓋iOS18.4至18.6.2版本。

其中，僅CVE-2026-20700在攻擊發生時仍屬零時差漏洞，其他漏洞多為已知弱點，但被駭客串聯運用，形成完整入侵鏈。蘋果已於今年2月釋出的安全更新中修補相關問題。

DarkSword主要透過所謂的水坑攻擊（Watering Hole Attack）感染裝置。駭客會先入侵合法網站（如新聞網站或政府網站），在頁面中植入惡意iframe。當使用者利用iPhone的Safari瀏覽這些網站時，裝置會在不需額外操作的情況下自動載入惡意程式碼，進而觸發漏洞攻擊鏈，完成入侵。

在成功取得系統權限後，DarkSword會載入後續的資料竊取模組，從多個系統服務與應用程式中蒐集敏感資訊。Lookout指出，該工具可存取包括簡訊與即時通訊紀錄、通訊錄、通話紀錄、電子郵件、照片、iCloud資料、瀏覽紀錄、Wi-Fi設定與密碼等內容，甚至涵蓋裝置位置、健康資料與已儲存的帳號密碼，幾乎可完整還原使用者的數位活動。

值得注意的是，DarkSword亦明確鎖定加密資產，能擷取多種主流交易所與錢包應用中的資料，包括Coinbase、Binance、Kraken、MetaMask等服務。Lookout指出，該攻擊在完成資料蒐集後，會在數秒至數分鐘內將資料傳送至遠端伺服器，並清除裝置上的相關痕跡後結束執行，屬於「快速滲透、快速撤離」的攻擊模式，進一步提升偵測與取證難度。

整體而言，DarkSword顯示行動裝置攻擊正出現結構性變化。過去高階iOS漏洞多用於針對特定目標的監控與情報蒐集，但此次攻擊同時結合間諜能力與加密資產竊取，顯示駭客開始將手機視為可直接變現的資產入口。

研究人員也發現，DarkSword並非由單一駭客使用，而是已被多個威脅行為者採用。這反映出原本多用於高端監控的iOS漏洞攻擊工具，已開始出現跨組織流通與重複利用的情況。隨著高階攻擊能力逐漸擴散，行動裝置所面臨的安全風險亦同步升高。

由於該攻擊屬短暫且無感的入侵，一般使用者難以察覺是否遭到感染，研究人員建議，使用者應儘速更新iOS至最新版本，以修補已知漏洞並降低被駭風險。