Coruna iPhone-exploit riktar sig mot kryptoplånböcker, varnar säkerhetsforskare
I korthet
Cybersäkerhetsforskare har avslöjat Coruna exploit kit, en sofistikerad verktygslåda som riktar in sig på iPhones med iOS 13–17.2.1 för att stjäla inloggningsuppgifter till kryptovalutaplånböcker genom flera nolldagssårbarheter.
Forskare inom cybersäkerhet har upptäckt en kraftfull hackerverktygslåda som kan kringgå säkerhetssystemet i Apple iPhones och stjäla kryptovaluta ur användarens plånbok. Utnyttjandeverktyget heter Coruna och utnyttjar flera sårbarheter i Apples mobila operativsystem och har redan använts i spionage och monetärt motiverad cyberkriminell verksamhet.
Säkerhetsforskare från Google Threat Intelligence Group upptäckte att Coruna-ramverket har 23 olika attacker samlade i flera attackkedjor som gör det möjligt för hackare att attackera enheter med äldre versioner av Apples mobilprogramvara. Efter distributionen skannar den skadliga programvaran enheter med känslig information, såsom kryptovalutaplånböcker och bankuppgifter.
Fyndet understryker de ökande riskerna för kryptovalutakonsumenter som använder mobila plånböcker för att lagra digitala tillgångar i riskzonen. I takt med att mobil handel och decentraliserade finansappar blir alltmer populära börjar angripare rikta in sig på smartphones som en åtkomstpunkt till digitala medel genom dem.
En sofistikerad verktygslåda med flera attackvägar
Coruna-attackpaketet anses vara en av de mest sofistikerade iPhone-attackstrukturerna som någonsin rapporterats offentligt. Säkerhetsexperter indikerar att verktygslådan kan attackera enheter som kör versioner av Apples operativsystem, inklusive iOS 13 till och med iOS 17.2.1, vilket gäller för iPhones som släpptes mellan 2019 och slutet av 2023.
Istället för att ha en enda sårbarhet kombinerar Coruna 23 olika exploateringar i 5 hela attackkedjor, vilket gör att den kan övervinna flera nivåer av säkerhetsskydd hos Apple.
Attacken kräver i många fall ingen form av interaktion eftersom den bara innebär att man besöker en skadlig webbplats. Efter att den komprometterade sidan har laddats på en sårbar enhet körs den dolda exploitkoden automatiskt, vilket gör det möjligt för angriparen att ta kontroll över telefonen och installera skadlig kod.
Den första fingeravtrycken tas från enheten för att fastställa iPhone-modellen och vilken typ av operativsystem som används. Den väljer sedan rätt attackkedja för att kompromettera säkerhetsåtgärder och installera skadlig programvara.
Krypto-plånböcker blir ett primärt mål
När enheten har blivit komprometterad syftar den skadliga koden till att stjäla värdefull data, särskilt kryptovalutauppgifter. Enligt utredare skannar implantatet meddelanden, anteckningar och applikationsdata för att hitta nyckelord baserade på kryptoåterställningsfraser.
Skadlig programvara söker specifikt efter orden mnemonisk fras, säkerhetskopia och bankkonto som vanligtvis är kopplade till program för plånboksåterställning. När sådana fraser upptäcks kan angriparna använda dem för att få tillbaka offrets plånbok på en annan enhet och få fullständig tillgång till pengarna.
Enligt forskare riktar sig exploit kitet mot ett flertal populära decentraliserade plånboksappar, såsom plattformar som länkar användare till decentraliserade finansprotokoll och handelsplattformar.
Rapporterna indikerar att minst 18 kryptoapplikationer skulle stödja den här typen av datautvinning när de installeras på de komprometterade enheterna. Efter att skadlig kod samlat in känsliga data överför den informationen till fjärrstyrda kommando- och kontrollservrar som kontrolleras av angripare så att de kan tömma de drabbade personernas plånböcker inom kort tid.
Från spionageverktyg till brottsvapen
Hur Coruna-attackpaketet spreds till olika hotaktörer är ett av de mest alarmerande problemen med Coruna-attackpaketet. Enligt utredare noterades systemet först 2025 som en del av riktade övervakningsaktiviteter i samband med en klient till ett kommersiellt spionprogram.
Dessutom användes samma infrastruktur i de så kallade watering hole-attackerna mot ukrainska webbplatser samma år, i en attack orkestrerad av en påstådd rysk spiongrupp.
År 2025 återuppstod verktygslådan i ekonomiskt fokuserade operationer av cyberkriminella organisationer med falska kryptovalutor och spelsajter.
Säkerhetsforskare antar att hackarna installerade exploit kit på hundratals oseriösa webbplatser, där tiotusentals enheter infekterades, och att användarinformationen om kryptoplånböckerna stals av angriparna. Utvecklingen av verktygslådan visar hur de bästa cyberspionageteknikerna äntligen kan hitta sin väg till resten av det kriminella ekosystemet.
En växande marknad för nolldagsexploateringar
Säkerhetsanalytiker noterar att Coruna är ett tecken på en ännu större trend inom cybersäkerhetssektorn. Utvecklingen av en underjordisk marknad för avancerad hackningsutrustning.
Mer sofistikerade ramverk för attacker som byggts av regeringar för att spionera på sina medborgare eller samla in underrättelsedata hamnar ibland i händerna på enskilda försäljare eller svarta marknader, och faller så småningom i händerna på cyberbrottslingar.
Det har nyligen rapporterats att Coruna kan jämföras med tidigare uppmärksammade iPhone-övervakningsinsatser som Operation Triangulation, som utnyttjade ännu inte avslöjade sårbarheter för att kompromettera Apple-enheter.
Att dessa verktyg har flyttat från spionsfären till finansiell cyberbrottslighet är oroande, med tanke på att de avancerade exploitationerna kan nå de underjordiska marknaderna mycket snabbt.
Apple-enheter inte immuna mot storskaliga attacker
Under årens lopp har Apples mobila ekosystem setts som säkrare jämfört med de flesta andra konkurrerande system på grund av en mycket restriktiv applikationsmiljö och ett slutet hårdvaru- och mjukvarusystem.
Ändå visar fall som Coruna att de säkraste systemen kan bli intrång om angripare kan komma åt mer än en nolldagssårbarhet.
Utformningen av exploit kit är särskilt oroande, enligt säkerhetsanalytiker, eftersom detta möjliggör termen massexploatering och inte riktad övervakning. En enda oseriös webbplats skulle infektera vilken sårbar maskin som helst som besöker webbplatsen.
Enligt experterna är detta särskilt farligt för dem som använder kryptovaluta och regelbundet använder decentraliserade applikationer, sidor för tokenanspråk eller tredjepartsleverantörer av handelstjänster. som kryptobedrägerier fortsätt att växa.
Skyddsåtgärder och Apples svar
Lyckligtvis indikerar forskare att Apple redan i de nyare versionerna av sitt operativsystem åtgärdade de sårbarheter som Coruna utnyttjade.
Det finns ingen misstanke om att exploit kitet kan påverka användare som använder de senaste versionerna av iOS. iPhone-användare har blivit uppmanade av sina säkerhetsteam att omedelbart uppgradera sina telefoner till den senaste versionen av iOS. Sårbarheterna som gör det möjligt för Coruna att komma åt systemet från början elimineras genom uppdateringen.
För att skydda sina enheter föreslår experterna också att man aktiverar låsningsläget, vilket är ett alternativ på Apple-enheter och bara tillåter användare att undvika avancerad spionprogramintrång om de inte kan uppdatera sina enheter. Coruna, som forskare hävdar, pausar automatiskt om låsningsläget upptäcks på en enhet.
Ansvarsfriskrivning
I linje med den Riktlinjer för Trust Project, vänligen notera att informationen på den här sidan inte är avsedd att vara och inte ska tolkas som juridisk, skattemässig, investerings-, finansiell eller någon annan form av rådgivning. Det är viktigt att bara investera det du har råd att förlora och att söka oberoende finansiell rådgivning om du har några tvivel. För ytterligare information föreslår vi att du hänvisar till villkoren samt hjälp- och supportsidorna som tillhandahålls av utfärdaren eller annonsören. MetaversePost är engagerad i korrekt, opartisk rapportering, men marknadsförhållandena kan ändras utan föregående meddelande.
Om författaren
Alisa, en engagerad journalist på MPost, specialiserar sig på krypto, AI, investeringar och det expansiva området av Web3. Med ett skarpt öga för nya trender och tekniker levererar hon omfattande täckning för att informera och engagera läsare i det ständigt föränderliga landskapet för digital ekonomi.
fler artiklar
Alisa, en engagerad journalist på MPost, specialiserar sig på krypto, AI, investeringar och det expansiva området av Web3. Med ett skarpt öga för nya trender och tekniker levererar hon omfattande täckning för att informera och engagera läsare i det ständigt föränderliga landskapet för digital ekonomi.
