Exploatarea unui iPhone de pe Coruna vizează portofelele cripto, avertizează cercetătorii în securitate
Pe scurt
Cercetătorii în domeniul securității cibernetice au descoperit kitul de exploatare Coruna, un set de instrumente sofisticat care vizează iPhone-urile cu iOS 13–17.2.1 pentru a fura datele de autentificare ale portofelului de criptomonede prin intermediul mai multor vulnerabilități zero-day.
Cercetătorii în domeniul securității cibernetice au descoperit un set puternic de instrumente de hacking, care poate ocoli sistemul de securitate al iPhone-urilor Apple și poate fura criptomonede din portofelul utilizatorului. Kitul de exploatare se numește Coruna și exploatează mai multe vulnerabilități din sistemul de operare mobil Apple, fiind deja utilizat în activități de spionaj și infracțiuni cibernetice cu scop monetar.
Cercetătorii în securitate de la Google Threat Intelligence Group au descoperit că framework-ul Coruna are 23 de exploit-uri diferite grupate în mai multe lanțuri de atac care permit hackerilor să atace dispozitivele folosind versiuni mai vechi ale software-ului mobil Apple. După implementare, malware-ul scanează dispozitivele cu date sensibile, cum ar fi portofelul de criptomonede și acreditările bancare.
Constatările subliniază riscurile tot mai mari pentru consumatorii de criptomonede care utilizează portofele mobile pentru a stoca active digitale aflate în pericol. Odată cu popularitatea tranzacționării mobile și a aplicațiilor financiare descentralizate, atacatorii încep să vizeze smartphone-urile ca punct de acces la fonduri digitale prin intermediul acestora.
Un set de instrumente sofisticat cu multiple căi de atac
Kitul de exploatare Coruna este considerat una dintre cele mai sofisticate structuri de atac împotriva iPhone-urilor raportate vreodată public. Experții în securitate indică faptul că setul de instrumente poate ataca dispozitive care rulează versiuni ale sistemului de operare Apple, inclusiv iOS 13 până la iOS 17.2.1, care este aplicabil iPhone-urilor lansate între 2019 și sfârșitul anului 2023.
În loc să aibă o singură vulnerabilitate, Coruna combină 23 de exploatări diferite în 5 lanțuri de atac complete, permițându-i să depășească mai multe niveluri de protecție a securității la Apple.
În multe cazuri, atacul nu necesită nicio formă de interacțiune, deoarece implică doar vizitarea unui site rău intenționat. După ce pagina compromisă este încărcată pe un dispozitiv vulnerabil, codul de exploatare ascuns este executat automat, permițând atacatorului să preia controlul telefonului și să instaleze malware.
Prima amprentă preia amprentele gadgetului pentru a determina modelul iPhone-ului și tipul de sistem de operare utilizat. Apoi alege lanțul de exploatare potrivit pentru a compromite măsurile de securitate și a instala software rău intenționat.
Portofelele cripto devin o țintă principală
Odată ce dispozitivul a fost compromis, malware-ul își propune să fure date valoroase, în special acreditări de criptomonedă. Potrivit anchetatorilor, implantul scanează mesaje, notițe și date de aplicații pentru a găsi cuvinte cheie pe baza expresiilor de recuperare cripto.
Malware-ul caută în mod specific cuvintele „frază mnemonică”, „frază de rezervă” și „cont bancar”, care sunt în general asociate cu programele de recuperare a portofelelor. Când astfel de fraze sunt descoperite, atacatorii le pot folosi pentru a recupera portofelul victimei pe un alt dispozitiv și a avea acces complet la bani.
Potrivit cercetătorilor, kitul de exploatare vizează numeroase aplicații populare de portofel descentralizat, cum ar fi platformele care leagă utilizatorii de protocoale financiare descentralizate și platforme de tranzacționare.
Rapoartele indică faptul că cel puțin 18 aplicații cripto ar putea suporta un astfel de tip de extragere a datelor atunci când sunt instalate pe dispozitivele compromise. După ce malware-ul colectează date sensibile, acesta le transmite către servere de comandă și control la distanță, controlate de atacatori, astfel încât aceștia să poată goli portofelele persoanelor afectate într-un timp scurt.
De la instrument de spionaj la armă criminală
Modul în care kitul de exploatare Coruna s-a răspândit la diverși actori amenințători este una dintre cele mai alarmante probleme legate de acesta. Potrivit anchetatorilor, framework-ul a fost observat pentru prima dată în 2025, ca parte a activităților de supraveghere direcționată asociate cu un client al unui spyware comercial.
În plus, în același an, aceeași infrastructură de exploatare a fost utilizată în așa-numitele atacuri de tip „watering hole” asupra site-urilor web ucrainene, într-un atac orchestrat de un presupus grup de spionaj rusesc.
Până în 2025, setul de instrumente a reapărut în operațiunile axate pe finanțare ale organizațiilor infracționale cibernetice cu site-uri de criptomonede și jocuri de noroc false.
Cercetătorii în domeniul securității presupun că hackerii au instalat kitul de exploatare pe sute de site-uri web necinstite, unde zeci de mii de dispozitive au fost infectate, iar informațiile utilizatorilor despre portofelele cripto au fost furate de atacatori. Dezvoltarea setului de instrumente arată cum cele mai bune tehnologii de spionaj cibernetic ar putea ajunge în sfârșit în restul ecosistemului infracțional.
O piață în creștere pentru exploatările zero-day
Analiștii în domeniul securității informatice notează că orașul Coruña indică o tendință și mai mare în sectorul securității cibernetice. Dezvoltarea unei piețe subterane pentru echipamente avansate de hacking.
Framework-uri de exploatare mai sofisticate, construite de guverne pentru a-și spiona cetățenii sau pentru a colecta date de informații, ajung ocazional în mâinile unor furnizori individuali sau ale piețelor negre, ajungând în cele din urmă în mâinile infractorilor cibernetici.
Recent, s-a raportat că operațiunea Corona poate fi comparată cu precedentele eforturi de supraveghere a iPhone-urilor, precum Operațiunea Triangulație, care au exploatat vulnerabilități încă nedezvăluite pentru a compromite dispozitivele Apple.
Faptul că aceste instrumente au ieșit din sfera spionajului și au intrat în domeniul criminalității cibernetice financiare este îngrijorător, având în vedere că exploatările avansate pot ajunge foarte rapid pe piețele subterane.
Dispozitivele Apple nu sunt imune la atacuri la scară largă
De-a lungul anilor, ecosistemul mobil al Apple a fost considerat mai sigur în comparație cu majoritatea celorlalte sisteme rivale, din cauza unui mediu de aplicații extrem de restrictiv și a unui sistem hardware-software închis.
Cu toate acestea, cazuri precum cel de la Coruña arată că cele mai sigure sisteme pot fi sparte în cazul în care atacatorii pot accesa mai mult de o vulnerabilitate zero-day.
Designul kitului de exploatare este deosebit de îngrijorător, potrivit analiștilor de securitate, deoarece acesta va permite termenul de exploatare în masă și nu supraveghere țintită. Un singur site necinstit ar infecta orice mașină susceptibilă care vizitează site-ul.
Potrivit experților, acest lucru este deosebit de periculos pentru cei care utilizează criptomonede și utilizează în mod regulat aplicații descentralizate, pagini de revendicare a tokenurilor sau furnizori terți de servicii de tranzacționare. ca escrocherii cripto continua sa cresti.
Măsuri de protecție și răspunsul Apple
Din fericire, cercetătorii indică faptul că în versiunile mai noi ale sistemului său de operare, Apple a remediat deja vulnerabilitățile exploatate de Corona.
Nu se suspectează că kitul de exploatare ar putea afecta utilizatorii care utilizează cele mai recente versiuni de iOS. Utilizatorii de iPhone au fost sfătuiți de echipele lor de securitate să își actualizeze telefoanele la cea mai recentă versiune de iOS imediat. Vulnerabilitățile care permit Coruna să acceseze sistemul din prima fază sunt eliminate prin actualizare.
Pentru a-și proteja dispozitivele, experții sugerează și activarea Modului Lockdown, care este o opțiune disponibilă pe dispozitivele Apple și permite utilizatorilor să evite intruziunea programelor spyware avansate doar în cazul în care nu își pot actualiza dispozitivele. Corona, așa cum susțin cercetătorii, își suspendă automat rularea în cazul în care Modul Lockdown este detectat pe un dispozitiv.
Declinare a responsabilităţii
În conformitate cu Ghidurile proiectului Trust, vă rugăm să rețineți că informațiile furnizate pe această pagină nu sunt destinate și nu trebuie interpretate ca fiind consiliere juridică, fiscală, investițională, financiară sau orice altă formă de consiliere. Este important să investești doar ceea ce îți poți permite să pierzi și să cauți sfaturi financiare independente dacă ai îndoieli. Pentru informații suplimentare, vă sugerăm să consultați termenii și condițiile, precum și paginile de ajutor și asistență furnizate de emitent sau agent de publicitate. MetaversePost se angajează să raporteze corecte, imparțial, dar condițiile de piață pot fi modificate fără notificare.
Despre autor
Alisa, o jurnalistă dedicată la MPost, specializată în criptomonede, inteligență artificială, investiții și domeniul vast al Web3. Cu un ochi aprofundat pentru tendințele și tehnologiile emergente, ea oferă o acoperire cuprinzătoare pentru a informa și a implica cititorii în peisajul în continuă evoluție al finanțelor digitale.
Mai multe articole
Alisa, o jurnalistă dedicată la MPost, specializată în criptomonede, inteligență artificială, investiții și domeniul vast al Web3. Cu un ochi aprofundat pentru tendințele și tehnologiile emergente, ea oferă o acoperire cuprinzătoare pentru a informa și a implica cititorii în peisajul în continuă evoluție al finanțelor digitale.
