Експерти по сигурността предупреждават, че експлойтът на Coruna за iPhone е насочен към крипто портфейли
Накратко
Изследователи по киберсигурност са разкрили експлойт комплекта Coruna - сложен набор от инструменти, насочен към iPhone с iOS 13–17.2.1, за да открадне идентификационни данни за портфейли с криптовалута чрез множество zero-day уязвимости.
Изследователи в областта на киберсигурността са открили мощен хакерски инструментариум, който може да заобиколи системата за сигурност на Apple iPhone и да открадне криптовалута от портфейла на потребителя. Експлойтният комплект, наречен Coruna, използва няколко уязвимости в мобилната операционна система на Apple и вече е бил използван в шпионаж и парично мотивирани киберпрестъпни дейности.
Изследователи по сигурността на Google Threat Intelligence Group откриха, че платформата Coruna има 23 различни експлойта, групирани в множество вериги за атаки, които позволяват на хакерите да атакуват устройства, използващи по-стари версии на мобилния софтуер на Apple. След внедряването си, зловредният софтуер сканира устройства с чувствителни данни, като например портфейли с криптовалута и банкови данни.
Констатацията подчертава нарастващите рискове за потребителите на криптовалути, които използват мобилни портфейли за съхранение на цифрови активи, изложени на риск. С нарастващата популярност на мобилната търговия и приложенията за децентрализирано финансиране, атакуващите започват да се насочват към смартфоните като точка за достъп до цифрови средства чрез тях.
Усъвършенстван набор от инструменти с множество пътища за атака
Комплектът за експлойт Coruna се счита за една от най-сложните структури за атака срещу iPhone, за които някога е било съобщавано публично. Експерти по сигурността посочват, че комплектът инструменти може да атакува устройства, работещи с версии на операционната система Apple, включително iOS 13 до iOS 17.2.1, което е приложимо за iPhone, пуснати на пазара между 2019 г. и края на 2023 г.
Вместо да има една уязвимост, Coruna комбинира 23 различни експлойта в 5 цели вериги от атаки, което ѝ позволява да преодолее няколко нива на защита на сигурността в Apple.
В много случаи атаката не изисква никаква форма на взаимодействие, тъй като включва само посещение на злонамерен сайт. След като компрометираната страница се зареди на уязвимо устройство, скритият експлойт код се изпълнява автоматично, което позволява на нападателя да поеме контрола над телефона и да инсталира зловреден софтуер.
Първият снема пръстови отпечатъци от устройството, за да определи модела на iPhone и типа на използваната операционна система. След това избира правилната верига от експлойти, за да компрометира мерките за сигурност и да инсталира зловреден софтуер.
Крипто портфейлите се превръщат в основна цел
След като устройството бъде компрометирано, зловредният софтуер се стреми да открадне ценни данни, особено идентификационни данни за криптовалута. Според разследващите, имплантът сканира съобщения, бележки и данни от приложения, за да намери ключови думи въз основа на фрази за възстановяване на криптовалута.
Зловредният софтуер търси специално думите „мнемонична фраза“, „резервна фраза“ и „банкова сметка“, които обикновено са свързани с програми за възстановяване на портфейли. Когато такива фрази бъдат открити, нападателите могат да ги използват, за да си върнат портфейла на жертвата на друго устройство и да получат пълен достъп до парите.
Според изследователите, експлойт комплектът е насочен към множество популярни децентрализирани приложения за портфейли, като например платформи, които свързват потребителите с децентрализирани финансови протоколи и платформи за търговия.
Докладите показват, че поне 18 крипто приложения биха поддържали подобен вид извличане на данни, когато са инсталирани на компрометираните устройства. След като зловредният софтуер събере чувствителни данни, той ги предава на отдалечени сървъри за командване и контрол, контролирани от нападателите, така че те да могат да изпразнят портфейлите на засегнатите лица за кратко време.
От инструмент за шпионаж до криминално оръжие
Начинът, по който експлойт комплектът Coruna се разпространява сред различни злонамерени лица, е един от най-тревожните проблеми, свързани с експлойт комплекта Coruna. Според разследващите, рамката е била забелязана за първи път през 2025 г. като част от насочени дейности по наблюдение, свързани с клиент на търговски шпионски софтуер.
Освен това, през същата година, същата експлойт инфраструктура е използвана при така наречените атаки тип „watering hole“ срещу украински уебсайтове, организирани от предполагаема руска шпионска група.
До 2025 г. инструментариумът се появи отново във финансово фокусирани операции от киберпрестъпни организации с фалшиви криптовалути и сайтове за хазарт.
Изследователите по сигурността предполагат, че хакерите са инсталирали експлойт комплекта на стотици измамнически уебсайтове, където десетки хиляди устройства са били заразени, а потребителската информация за крипто портфейлите е била открадната от нападателите. Разработването на инструментариума показва как най-добрите технологии за кибершпионаж могат най-накрая да намерят своя път към останалата част от престъпната екосистема.
Разрастващ се пазар за експлойти с нулев ден
Анализаторите по сигурността отбелязват, че корона е показателна за още по-голяма тенденция в сектора на киберсигурността. Развитието на подземен пазар за модерно хакерско оборудване.
По-сложни експлойт рамки, изградени от правителствата, за да шпионират гражданите си или да събират разузнавателни данни, понякога попадат в ръцете на отделни доставчици или черни пазари, като в крайна сметка попадат в ръцете на киберпрестъпници.
Наскоро се появиха съобщения, че Coruna може да стигне толкова далеч, колкото и предишни нашумели усилия за наблюдение на iPhone, като операция „Триангулация“, която използваше все още неразкрити уязвимости, за да компрометира устройства на Apple.
Фактът, че тези инструменти са се преместили от сферата на шпионажа към финансовата киберпрестъпност, е обезпокоителен, като се има предвид фактът, че усъвършенстваните експлойти могат да достигнат до подземните пазари много бързо.
Устройствата на Apple не са имунизирани срещу мащабни атаки
През годините мобилната екосистема на Apple се е възприемала като по-безопасна в сравнение с повечето други конкурентни системи поради силно рестриктивната среда за приложения и затворената хардуерно-софтуерна система.
Въпреки това, случаи като този на Coruna показват, че най-сигурните системи могат да бъдат пробити, в случай че нападателите имат достъп до повече от една уязвимост от типа „нулев ден“.
Дизайнът на експлойт комплекта е особено обезпокоителен, според анализаторите по сигурността, тъй като това ще позволи термина „масова експлоатация“, а не целенасочено наблюдение. Един единствен злонамерен сайт би заразил всяка уязвима машина, която го посети.
Според експертите, това е особено опасно за тези, които използват криптовалута и редовно използват децентрализирани приложения, страници за заявяване на токени или доставчици на услуги за търговия от трети страни. като крипто измами продължават да растат.
Мерки за защита и отговор на Apple
За щастие, изследователите посочват, че в по-новите версии на своята операционна система, Apple вече е отстранила уязвимостите, които Coruna е използвала.
Няма съмнения, че експлойт комплектът може да засегне потребители, използващи най-новите версии на iOS. Потребителите на iPhone са били посъветвани от екипите си по сигурност незабавно да актуализират телефоните си до най-новата версия на iOS. Уязвимостите, които позволяват на Coruna да получи достъп до системата в първия момент, са елиминирани от актуализацията.
За да защитят устройствата си, експертите предлагат да включат и режима на заключване, който е опция на устройствата на Apple и позволява на потребителите да избегнат проникване на напреднал шпионски софтуер само в случай, че не могат да актуализират устройствата си. Coruna, както твърдят изследователите, автоматично спира работата си, в случай че на устройство бъде открит режим на заключване.
Отказ от отговорност
В съответствие с Доверете се насоките на проекта, моля, имайте предвид, че предоставената на тази страница информация не е предназначена да бъде и не трябва да се тълкува като правен, данъчен, инвестиционен, финансов или каквато и да е друга форма на съвет. Важно е да инвестирате само това, което можете да си позволите да загубите, и да потърсите независим финансов съвет, ако имате някакви съмнения. За допълнителна информация предлагаме да се обърнете към правилата и условията, както и към страниците за помощ и поддръжка, предоставени от издателя или рекламодателя. MetaversePost се ангажира с точно, безпристрастно отчитане, но пазарните условия подлежат на промяна без предизвестие.
За автора
Алиса, всеотдаен журналист в MPost, специализира в криптовалути, изкуствен интелект, инвестиции и обширната сфера на Web3. С остър поглед към нововъзникващите тенденции и технологии, тя предоставя изчерпателно покритие, за да информира и ангажира читателите в непрекъснато развиващия се пейзаж на дигиталните финанси.
Още статии
Алиса, всеотдаен журналист в MPost, специализира в криптовалути, изкуствен интелект, инвестиции и обширната сфера на Web3. С остър поглед към нововъзникващите тенденции и технологии, тя предоставя изчерпателно покритие, за да информира и ангажира читателите в непрекъснато развиващия се пейзаж на дигиталните финанси.
