L'exploit di Coruna sull'iPhone prende di mira i portafogli crittografici, avvertono i ricercatori sulla sicurezza
In Breve
I ricercatori di sicurezza informatica hanno scoperto l'exploit kit Coruna, un sofisticato toolkit che prende di mira gli iPhone con iOS 13–17.2.1 per rubare le credenziali dei portafogli di criptovalute sfruttando molteplici vulnerabilità zero-day.
I ricercatori di sicurezza informatica hanno scoperto un potente toolkit di hacking in grado di bypassare il sistema di sicurezza degli iPhone Apple e rubare criptovalute dal portafoglio dell'utente. L'exploit kit si chiama Coruna e sfrutta diverse vulnerabilità del sistema operativo mobile Apple ed è già stato utilizzato in attività di spionaggio e criminalità informatica a scopo di lucro.
I ricercatori di sicurezza del Google Threat Intelligence Group hanno scoperto che il framework Coruna contiene 23 diversi exploit raggruppati in più catene di attacco che consentono agli hacker di attaccare i dispositivi utilizzando versioni precedenti del software mobile Apple. Dopo l'implementazione, il malware analizza i dispositivi con dati sensibili, come wallet di criptovalute e credenziali bancarie.
La scoperta sottolinea i crescenti rischi per i consumatori di criptovalute che utilizzano portafogli mobili per conservare asset digitali. Con la crescente popolarità delle app di trading mobile e di finanza decentralizzata, gli aggressori stanno iniziando a prendere di mira gli smartphone come punto di accesso ai fondi digitali.
Un sofisticato toolkit con molteplici percorsi di attacco
L'exploit kit Coruna è considerato una delle strutture di attacco per iPhone più sofisticate mai segnalate pubblicamente. Gli esperti di sicurezza indicano che il toolkit può attaccare dispositivi che utilizzano versioni del sistema operativo Apple, tra cui iOS 13 e iOS 17.2.1, applicabili agli iPhone rilasciati tra il 2019 e la fine del 2023.
Invece di avere una sola vulnerabilità, Coruna combina 23 exploit diversi in 5 intere catene di attacco, consentendogli di superare diversi livelli di protezione della sicurezza di Apple.
In molti casi, l'attacco non richiede alcuna forma di interazione, poiché prevede semplicemente la visita di un sito dannoso. Dopo che la pagina compromessa viene caricata su un dispositivo vulnerabile, il codice exploit nascosto viene eseguito automaticamente, consentendo all'aggressore di assumere il controllo del telefono e installare malware.
Innanzitutto, il malware rileva le impronte digitali del dispositivo per determinare il modello di iPhone e il tipo di sistema operativo in uso. Quindi, sceglie la catena di exploit più adatta per compromettere le misure di sicurezza e installare software dannoso.
I portafogli crittografici diventano un obiettivo primario
Una volta compromesso il dispositivo, il malware mira a rubare dati preziosi, in particolare credenziali di criptovaluta. Secondo gli investigatori, l'impianto analizza messaggi, note e dati delle applicazioni per trovare parole chiave basate su frasi di recupero crittografiche.
Il malware cerca specificamente le parole "frase mnemonica", "frase di backup" e "conto bancario", generalmente associate a programmi di recupero del portafoglio. Una volta scoperte, queste frasi possono essere utilizzate dagli aggressori per recuperare il portafoglio della vittima su un altro dispositivo e ottenere pieno accesso al denaro.
Secondo i ricercatori, l'exploit kit prende di mira numerose app di portafoglio decentralizzato molto diffuse, come le piattaforme che collegano gli utenti a protocolli finanziari decentralizzati e piattaforme di trading.
I report indicano che almeno 18 applicazioni crittografiche supporterebbero questo tipo di estrazione di dati una volta installate sui dispositivi compromessi. Dopo aver raccolto dati sensibili, il malware li trasmette a server di comando e controllo remoti controllati dagli aggressori, in modo da poter svuotare i portafogli delle persone colpite in breve tempo.
Da strumento di spionaggio ad arma criminale
Il modo in cui l'exploit kit Coruna si è diffuso tra i vari autori delle minacce è uno dei problemi più allarmanti. Secondo gli investigatori, il framework è stato individuato per la prima volta nel 2025 nell'ambito di attività di sorveglianza mirata associate a un client di uno spyware commerciale.
Inoltre, nello stesso anno, la stessa infrastruttura di exploit è stata utilizzata nei cosiddetti attacchi watering hole ai siti web ucraini, in un attacco orchestrato da un presunto gruppo di spie russo.
Entro il 2025, il toolkit è riemerso in operazioni incentrate sulla finanza da parte di organizzazioni criminali informatiche con falsi siti di criptovalute e di gioco d'azzardo.
I ricercatori di sicurezza ipotizzano che gli hacker abbiano installato l'exploit kit su centinaia di siti web non autorizzati, infettando decine di migliaia di dispositivi, e che le informazioni degli utenti sui portafogli crittografici siano state rubate dagli aggressori. Lo sviluppo del toolkit dimostra come le migliori tecnologie di cyberspionaggio possano finalmente raggiungere il resto dell'ecosistema criminale.
Un mercato in crescita per gli exploit zero-day
Gli analisti della sicurezza sottolineano che Coruna è indicativo di una tendenza ancora più ampia nel settore della sicurezza informatica: lo sviluppo di un mercato sotterraneo di apparecchiature avanzate per l'hacking.
I framework di exploit più sofisticati, creati dai governi per spiare i propri cittadini o raccogliere dati di intelligence, a volte finiscono nelle mani di singoli venditori o mercati neri, per poi finire nelle mani dei criminali informatici.
Di recente è stato riferito che Coruna potrebbe essere paragonato a precedenti tentativi di sorveglianza di alto profilo sugli iPhone, come Operation Triangulation, che sfruttava vulnerabilità ancora non divulgate per compromettere i dispositivi Apple.
Il fatto che questi strumenti siano passati dall'ambito dello spionaggio a quello della criminalità informatica finanziaria è preoccupante, considerando che gli exploit avanzati possono raggiungere molto rapidamente i mercati clandestini.
I dispositivi Apple non sono immuni agli attacchi su larga scala
Nel corso degli anni, l'ecosistema mobile di Apple è stato considerato più sicuro rispetto alla maggior parte degli altri sistemi concorrenti, grazie a un ambiente applicativo altamente restrittivo e a un sistema hardware-software chiuso.
Tuttavia, casi come quello di Coruna dimostrano che anche i sistemi più sicuri potrebbero essere violati nel caso in cui gli aggressori riescano ad accedere a più di una vulnerabilità zero-day.
Secondo gli analisti della sicurezza, la progettazione dell'exploit kit è particolarmente preoccupante, poiché consente di parlare di sfruttamento di massa e non di sorveglianza mirata. Un singolo sito non autorizzato infetterebbe qualsiasi macchina vulnerabile che lo visiti.
Secondo gli esperti, questo è particolarmente pericoloso per coloro che utilizzano criptovalute e utilizzano regolarmente applicazioni decentralizzate, pagine di richiesta token o fornitori di servizi di trading di terze parti, come truffe crittografiche continuare a crescere.
Misure di protezione e risposta di Apple
Fortunatamente, i ricercatori indicano che nelle versioni più recenti del suo sistema operativo, Apple ha già risolto le vulnerabilità sfruttate da Coruna.
Non si sospetta che l'exploit kit possa colpire gli utenti che utilizzano le ultime versioni di iOS. Gli utenti iPhone sono stati avvisati dai loro team di sicurezza di aggiornare immediatamente i propri telefoni all'ultima versione di iOS. Le vulnerabilità che consentono a Coruna di accedere al sistema in un primo momento vengono eliminate dall'aggiornamento.
Per proteggere i propri dispositivi, gli esperti suggeriscono anche di attivare la modalità di blocco, un'opzione presente sui dispositivi Apple che consente agli utenti di evitare intrusioni di spyware avanzati solo nel caso in cui non possano aggiornare i propri dispositivi. Coruna, secondo i ricercatori, sospende automaticamente la sua esecuzione nel caso in cui venga rilevata la modalità di blocco su un dispositivo.
Negazione di responsabilità
In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.
Circa l'autore
Alisa, una giornalista dedicata al MPost, è specializzato in criptovalute, IA, investimenti e nell'ampio regno di Web3. Con un occhio attento alle tendenze e alle tecnologie emergenti, offre una copertura completa per informare e coinvolgere i lettori nel panorama in continua evoluzione della finanza digitale.
Altri articoli
Alisa, una giornalista dedicata al MPost, è specializzato in criptovalute, IA, investimenti e nell'ampio regno di Web3. Con un occhio attento alle tendenze e alle tecnologie emergenti, offre una copertura completa per informare e coinvolgere i lettori nel panorama in continua evoluzione della finanza digitale.
