Beveiligingsonderzoekers waarschuwen dat een exploit voor iPhones met Coruna-virus zich richt op cryptowallets.
In het kort
Onderzoekers op het gebied van cyberbeveiliging hebben de Coruna-exploitkit ontdekt, een geavanceerde toolkit die zich richt op iPhones met iOS 13 tot en met 17.2.1 om via meerdere zero-day-kwetsbaarheden inloggegevens van cryptowallets te stelen.
Onderzoekers op het gebied van cyberbeveiliging hebben een krachtige hacktoolkit ontdekt waarmee het beveiligingssysteem van Apple iPhones kan worden omzeild en cryptovaluta uit de portemonnee van de gebruiker kan worden gestolen. De exploitkit, genaamd Coruna, maakt gebruik van verschillende kwetsbaarheden in het mobiele besturingssysteem van Apple en is al ingezet voor spionage en cybercriminaliteit met een financieel motief.
Beveiligingsonderzoekers van Google Threat Intelligence Group hebben ontdekt dat het Coruna-framework 23 verschillende exploits bevat, gebundeld in meerdere aanvalsketens. Deze stellen hackers in staat om apparaten met oudere versies van Apple-software aan te vallen. Na de installatie scant de malware apparaten met gevoelige gegevens, zoals cryptowallets en bankgegevens.
De bevinding onderstreept de toenemende risico's voor cryptovalutagebruikers die mobiele wallets gebruiken om digitale activa op te slaan. Nu mobiele handels- en gedecentraliseerde financiële apps steeds populairder worden, richten aanvallers zich steeds vaker op smartphones als toegangspunt tot digitale tegoeden.
Een geavanceerde gereedschapskist met meerdere aanvalsmogelijkheden
De Coruna-exploitkit wordt beschouwd als een van de meest geavanceerde aanvalsstructuren voor iPhones die ooit publiekelijk zijn gerapporteerd. Beveiligingsexperts geven aan dat de toolkit apparaten kan aanvallen die draaien op versies van het Apple-besturingssysteem, waaronder iOS 13 tot en met iOS 17.2.1, wat van toepassing is op iPhones die tussen 2019 en eind 2023 zijn uitgebracht.
In plaats van één kwetsbaarheid te hebben, combineert Coruna 23 verschillende exploits in 5 complete aanvalsketens, waardoor het meerdere beveiligingslagen bij Apple kan omzeilen.
De aanval vereist in veel gevallen geen enkele vorm van interactie, aangezien het slechts gaat om het bezoeken van een kwaadwillende website. Nadat de gecompromitteerde pagina op een kwetsbaar apparaat is geladen, wordt de verborgen exploitcode automatisch uitgevoerd, waardoor de aanvaller de controle over de telefoon kan overnemen en malware kan installeren.
Eerst wordt de vingerafdruk van het apparaat gebruikt om het iPhone-model en het gebruikte besturingssysteem te bepalen. Vervolgens wordt de juiste aanvalsketen gekozen om de beveiligingsmaatregelen te omzeilen en kwaadaardige software te installeren.
Cryptowallets worden een primair doelwit
Zodra het apparaat is geïnfecteerd, is het doel van de malware het stelen van waardevolle gegevens, met name inloggegevens voor cryptovaluta. Volgens onderzoekers scant de malware berichten, notities en applicatiegegevens om trefwoorden te vinden die gebaseerd zijn op herstelzinnen voor cryptovaluta.
De malware zoekt specifiek naar woorden als 'mnemonic phrase', 'backup phrase' en 'bank account', die doorgaans worden geassocieerd met programma's voor het herstellen van digitale portemonnees. Wanneer dergelijke zinnen worden gevonden, kunnen de aanvallers ze gebruiken om de digitale portemonnee van het slachtoffer op een ander apparaat te herstellen en volledige toegang tot het geld te verkrijgen.
Volgens onderzoekers is de exploitkit gericht op tal van populaire gedecentraliseerde wallet-apps, zoals platforms die gebruikers verbinden met gedecentraliseerde financiële protocollen en handelsplatforms.
De rapporten geven aan dat minstens 18 crypto-applicaties dit soort data-extractie ondersteunen wanneer ze op de geïnfecteerde apparaten zijn geïnstalleerd. Nadat de malware gevoelige gegevens heeft verzameld, stuurt deze de gegevens door naar externe command-and-control-servers die door de aanvallers worden beheerd, zodat zij de wallets van de getroffen personen binnen korte tijd kunnen plunderen.
Van spionage-instrument tot crimineel wapen
De manier waarop de Coruna-exploitkit zich heeft verspreid onder verschillende cybercriminelen is een van de meest alarmerende aspecten van deze exploitkit. Volgens onderzoekers werd het framework voor het eerst opgemerkt in 2025 als onderdeel van gerichte surveillanceactiviteiten van een klant van een commerciële spywareaanbieder.
Bovendien werd in hetzelfde jaar dezelfde infrastructuur voor cyberaanvallen gebruikt bij de zogenaamde watering hole-aanvallen op Oekraïense websites, een aanval die naar verluidt werd georkestreerd door een Russische spionagegroep.
Tegen 2025 dook de toolkit opnieuw op in financieel georiënteerde operaties van cybercriminele organisaties met nep-cryptovaluta en gokwebsites.
Beveiligingsonderzoekers vermoeden dat de hackers de exploitkit op honderden malafide websites hebben geïnstalleerd, waardoor tienduizenden apparaten geïnfecteerd raakten en de aanvallers gebruikersinformatie over cryptowallets buitmaakten. De ontwikkeling van de toolkit laat zien hoe de beste cyber-spionagetechnologieën uiteindelijk hun weg kunnen vinden naar de rest van het criminele ecosysteem.
Een groeiende markt voor zero-day exploits
Beveiligingsanalisten merken op dat Coruña een indicatie is van een nog grotere trend in de cybersecuritysector: de ontwikkeling van een illegale markt voor geavanceerde hackapparatuur.
Geavanceerdere exploitsystemen die door overheden worden ontwikkeld om hun burgers te bespioneren of inlichtingen te verzamelen, komen soms in handen van individuele verkopers of op de zwarte markt terecht, om uiteindelijk in de handen van cybercriminelen te belanden.
Onlangs is gemeld dat Coruna mogelijk vergelijkbaar is met eerdere spraakmakende pogingen tot iPhone-surveillance, zoals Operation Triangulation, waarbij nog niet onthulde kwetsbaarheden werden misbruikt om Apple-apparaten te compromitteren.
Het feit dat deze tools zich hebben verplaatst van de spionagesfeer naar financiële cybercriminaliteit is zorgwekkend, gezien het feit dat de geavanceerde exploits zeer snel de illegale markten kunnen bereiken.
Apple-apparaten zijn niet immuun voor grootschalige aanvallen.
Het mobiele ecosysteem van Apple wordt al jaren als veiliger beschouwd dan de meeste concurrerende systemen, vanwege een zeer restrictieve applicatieomgeving en een gesloten hardware-software-systeem.
Desondanks laten gevallen zoals Coruna zien dat zelfs de meest beveiligde systemen kunnen worden doorbroken als aanvallers toegang krijgen tot meer dan één zero-day kwetsbaarheid.
Het ontwerp van de exploitkit is volgens beveiligingsanalisten bijzonder zorgwekkend, omdat dit massale exploitatie mogelijk maakt in plaats van gerichte surveillance. Eén enkele malafide website zou elke kwetsbare computer die de site bezoekt, kunnen infecteren.
Volgens de experts is dit met name gevaarlijk voor mensen die cryptovaluta gebruiken en regelmatig gebruikmaken van gedecentraliseerde applicaties, tokenclaimpagina's of externe handelsdiensten. als crypto-oplichting blijven groeien.
Beschermingsmaatregelen en de reactie van Apple
Gelukkig geven onderzoekers aan dat Apple in de nieuwere versies van zijn besturingssysteem de kwetsbaarheden die Coruna misbruikte al heeft verholpen.
Er wordt niet vermoed dat de exploitkit gebruikers met de nieuwste versies van iOS kan treffen. iPhone-gebruikers zijn door hun beveiligingsteams geadviseerd hun telefoons onmiddellijk te upgraden naar de nieuwste versie van iOS. De kwetsbaarheden die Coruna in eerste instantie toegang tot het systeem gaven, worden door de update verholpen.
Om hun apparaten te beschermen, raden de experts ook aan om de vergrendelingsmodus in te schakelen. Deze optie is beschikbaar op Apple-apparaten en stelt gebruikers alleen in staat om geavanceerde spyware-aanvallen te voorkomen als ze hun apparaten niet kunnen updaten. Coruna, zo beweren onderzoekers, stopt automatisch met draaien als de vergrendelingsmodus op een apparaat wordt gedetecteerd.
Disclaimer
In lijn met de Richtlijnen voor vertrouwensprojectenHoud er rekening mee dat de informatie op deze pagina niet bedoeld is en niet mag worden geïnterpreteerd als juridisch, fiscaal, beleggings-, financieel of enige andere vorm van advies. Het is belangrijk om alleen te beleggen wat u zich kunt veroorloven te verliezen en onafhankelijk financieel advies in te winnen als u twijfels heeft. Voor meer informatie raden wij u aan de algemene voorwaarden en de hulp- en ondersteuningspagina's van de uitgever of adverteerder te raadplegen. MetaversePost streeft naar nauwkeurige, onpartijdige berichtgeving, maar de marktomstandigheden kunnen zonder voorafgaande kennisgeving worden gewijzigd.
Over de auteur
Alisa, een toegewijd journalist bij de MPostis gespecialiseerd in crypto, AI, investeringen en het brede domein van Web3. Met een scherp oog voor opkomende trends en technologieën levert ze uitgebreide berichtgeving om lezers te informeren en te betrekken bij het steeds evoluerende landschap van digitale financiën.
Meer artikelen
Alisa, een toegewijd journalist bij de MPostis gespecialiseerd in crypto, AI, investeringen en het brede domein van Web3. Met een scherp oog voor opkomende trends en technologieën levert ze uitgebreide berichtgeving om lezers te informeren en te betrekken bij het steeds evoluerende landschap van digitale financiën.
