Eksperci ds. bezpieczeństwa ostrzegają, że eksploit iPhone’a w Corunie atakuje portfele kryptowalutowe
W skrócie
Badacze zajmujący się bezpieczeństwem cybernetycznym odkryli zestaw narzędzi Coruna, czyli zaawansowany zestaw narzędzi skierowanych na iPhone'y z systemem iOS 13–17.2.1, służący do kradzieży danych uwierzytelniających portfeli kryptowalutowych za pomocą wielu luk typu zero-day.
Badacze cyberbezpieczeństwa odkryli potężny zestaw narzędzi hakerskich, który może ominąć system zabezpieczeń iPhone'ów Apple i wykraść kryptowalutę z portfela użytkownika. Zestaw ten nosi nazwę Coruna i wykorzystuje kilka luk w zabezpieczeniach mobilnego systemu operacyjnego Apple. Był już wykorzystywany w cyberprzestępczości, zarówno w celach szpiegowskich, jak i w celach finansowych.
Analitycy ds. bezpieczeństwa z Google Threat Intelligence Group odkryli, że framework Coruna zawiera 23 różne exploity połączone w wiele łańcuchów ataków, które umożliwiają hakerom atakowanie urządzeń przy użyciu starszych wersji oprogramowania mobilnego Apple. Po wdrożeniu złośliwe oprogramowanie skanuje urządzenia z poufnymi danymi, takimi jak portfel kryptowalutowy i dane uwierzytelniające do bankowości.
Odkrycie podkreśla rosnące ryzyko dla użytkowników kryptowalut, którzy korzystają z portfeli mobilnych do przechowywania aktywów cyfrowych. Wraz ze wzrostem popularności mobilnych aplikacji do handlu i zdecentralizowanych finansów, atakujący zaczynają wykorzystywać smartfony jako punkt dostępu do środków cyfrowych.
Zaawansowany zestaw narzędzi z wieloma ścieżkami ataku
Zestaw exploitów Coruna jest uważany za jedną z najbardziej wyrafinowanych struktur ataku na iPhone'a, o których kiedykolwiek publicznie poinformowano. Eksperci ds. bezpieczeństwa wskazują, że zestaw ten może atakować urządzenia z systemami operacyjnymi Apple, w tym iOS 13 do iOS 17.2.1, które dotyczą iPhone'ów wydanych między 2019 a końcem 2023 roku.
Zamiast wykorzystywać jedną lukę, Coruna łączy 23 różne exploity w 5 całych łańcuchach ataków, co pozwala jej pokonać kilka poziomów zabezpieczeń w Apple.
W wielu przypadkach atak nie wymaga żadnej interakcji, ponieważ polega jedynie na odwiedzeniu złośliwej witryny. Po załadowaniu zainfekowanej strony na podatnym na ataki urządzeniu, automatycznie uruchamiany jest ukryty kod exploita, umożliwiający atakującemu przejęcie kontroli nad telefonem i zainstalowanie złośliwego oprogramowania.
Pierwszy z nich to odcisk palca urządzenia, który pozwala określić model iPhone'a i rodzaj używanego systemu operacyjnego. Następnie wybiera odpowiedni łańcuch ataków, aby złamać zabezpieczenia i zainstalować złośliwe oprogramowanie.
Portfele kryptowalutowe stają się głównym celem
Po zainfekowaniu urządzenia, złośliwe oprogramowanie ma na celu kradzież cennych danych, zwłaszcza danych uwierzytelniających kryptowaluty. Według śledczych, implant skanuje wiadomości, notatki i dane aplikacji w celu znalezienia słów kluczowych na podstawie fraz odzyskiwania kryptowalut.
Szkodliwe oprogramowanie wyszukuje konkretnie słowa „mnemonik”, „fraza zapasowa” i „konto bankowe”, które zazwyczaj są powiązane z programami do odzyskiwania portfeli. Po odkryciu takich fraz atakujący mogą ich użyć, aby odzyskać portfel ofiary na innym urządzeniu i uzyskać pełny dostęp do pieniędzy.
Według badaczy, zestaw exploitów atakuje wiele popularnych aplikacji zdecentralizowanych portfeli, takich jak platformy łączące użytkowników z protokołami zdecentralizowanych finansów i platformami handlowymi.
Raporty wskazują, że co najmniej 18 aplikacji kryptograficznych obsługuje tego typu ekstrakcję danych po zainstalowaniu na zainfekowanych urządzeniach. Po zebraniu poufnych danych, złośliwe oprogramowanie przesyła je do zdalnych serwerów dowodzenia i kontroli, kontrolowanych przez atakujących, aby mogli oni w krótkim czasie opróżnić portfele osób poszkodowanych.
Od narzędzia szpiegowskiego do broni przestępczej
Sposób, w jaki zestaw exploitów Coruna rozprzestrzenił się na różne podmioty stanowiące zagrożenie, jest jednym z najbardziej niepokojących problemów związanych z tym zestawem. Według śledczych, framework ten został po raz pierwszy zauważony w 2025 roku w ramach ukierunkowanych działań inwigilacyjnych związanych z klientem komercyjnego oprogramowania szpiegującego.
Dodatkowo w tym samym roku tę samą infrastrukturę exploit wykorzystano w tzw. atakach typu watering hole na ukraińskie strony internetowe, w ataku zorganizowanym przez domniemaną rosyjską grupę szpiegowską.
Do 2025 r. zestaw tych narzędzi ponownie pojawił się w ukierunkowanych na finanse operacjach organizacji cyberprzestępczych, zajmujących się fałszywymi witrynami oferującymi kryptowaluty i gry hazardowe.
Badacze bezpieczeństwa zakładają, że hakerzy zainstalowali zestaw exploitów na setkach podejrzanych stron internetowych, gdzie zainfekowano dziesiątki tysięcy urządzeń, a atakujący ukradli informacje o użytkownikach portfeli kryptowalutowych. Rozwój zestawu narzędzi pokazuje, jak najlepsze technologie cyberszpiegostwa mogą w końcu przedostać się do reszty ekosystemu przestępczego.
Rozwijający się rynek luk w zabezpieczeniach typu zero-day
Analitycy bezpieczeństwa zauważają, że sytuacja w Coruñie jest oznaką jeszcze silniejszego trendu w sektorze cyberbezpieczeństwa. Rozwój podziemnego rynku zaawansowanego sprzętu hakerskiego.
Bardziej zaawansowane systemy exploitów tworzone przez rządy w celu szpiegowania obywateli lub gromadzenia danych wywiadowczych czasami trafiają w ręce indywidualnych dostawców lub na czarny rynek, a ostatecznie w ręce cyberprzestępców.
Niedawno pojawiły się doniesienia, że działania Coruny można porównać do wcześniejszych głośnych działań mających na celu inwigilację iPhone'a, takich jak operacja Triangulation, która wykorzystywała wciąż nieujawnione luki w zabezpieczeniach w celu włamania się do urządzeń Apple.
Fakt, że narzędzia te wyszły ze sfery szpiegostwa i zaczęły być wykorzystywane w cyberprzestępczości finansowej, budzi obawy, biorąc pod uwagę fakt, że zaawansowane exploity mogą bardzo szybko przedostać się na podziemne rynki.
Urządzenia Apple nie są odporne na ataki na dużą skalę
Na przestrzeni lat ekosystem mobilny firmy Apple był postrzegany jako bezpieczniejszy w porównaniu z większością innych konkurencyjnych systemów ze względu na bardzo ograniczone środowisko aplikacji i zamknięty system sprzętowo-programowy.
Jednakże przypadki takie jak w Corunie pokazują, że nawet najbezpieczniejsze systemy mogą zostać naruszone, jeśli atakujący zdołają wykorzystać więcej niż jedną lukę typu zero-day.
Zdaniem analityków bezpieczeństwa, konstrukcja zestawu exploitów jest szczególnie niepokojąca, ponieważ umożliwi masową eksploatację, a nie ukierunkowany nadzór. Pojedyncza nieuczciwa witryna mogłaby zainfekować każdą podatną na ataki maszynę, która ją odwiedzi.
Zdaniem ekspertów jest to szczególnie niebezpieczne dla osób korzystających z kryptowalut i regularnie korzystających z zdecentralizowanych aplikacji, stron z roszczeniami do tokenów lub zewnętrznych dostawców usług handlowych, jako oszustwa kryptograficzne dalej rosnąć.
Środki ochrony i reakcja Apple
Na szczęście, jak wskazują badacze, w nowszych wersjach swojego systemu operacyjnego Apple uporało się już z lukami wykorzystywanymi przez Corunę.
Nie podejrzewa się, aby zestaw exploitów mógł zagrozić użytkownikom korzystającym z najnowszych wersji systemu iOS. Zespoły ds. bezpieczeństwa zaleciły użytkownikom iPhone'ów natychmiastową aktualizację do najnowszej wersji systemu iOS. Luki w zabezpieczeniach, które początkowo umożliwiały Corunie dostęp do systemu, zostały wyeliminowane przez aktualizację.
Aby chronić swoje urządzenia, eksperci sugerują również włączenie trybu blokady, który jest dostępny na urządzeniach Apple i pozwala użytkownikom uniknąć zaawansowanego oprogramowania szpiegującego tylko wtedy, gdy nie mogą zaktualizować swoich urządzeń. Coruna, jak twierdzą badacze, automatycznie zawiesza działanie w przypadku wykrycia trybu blokady na urządzeniu.
Zastrzeżenie
Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.
O autorze
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, sztucznej inteligencji, inwestycjach i rozległym obszarze Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
Więcej artykułów
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, sztucznej inteligencji, inwestycjach i rozległym obszarze Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
