Користувачів iPhone попереджають: крипто-шахрайства можуть викликати експлойти iOS «Coruna»

Огляд

Група загроз Google (GTIG) випустила попередження щодо нововиявленого експлойт-кіту для iOS, що називається Coruna, який націлений на користувачів iPhone через фальшиві фінансові та криптовалютні вебсайти. Цей експлойт-кит особливо турбує власників криптовалюти, оскільки його основна мета - збір чутливих seed-фраз та даних гаманців з популярних мобільних додатків.

Експлойт-кит Coruna

Експлойт-кит Coruna призначений для націлення на пристрої Apple, які працюють на версіях iOS від 13.0 до 17.2.1. Аналіз GTIG показує, що кит складається з п’яти повних ланцюгів експлойтів та 23 окремих експлойтів. GTIG прослідкувала еволюцію Coruna з його початкового використання у 2025 році, починаючи з комерційної компанії спостереження до виконання атак “watering hole” на скомпрометованих українських вебсайтах. Врешті-решт, кит був широко розповсюджений через китайськомовні шахрайські сайти, пов’язані з фінансово мотивованим актором, відомим як UNC6691.

Механізм доставки

Під час свого розслідування GTIG виявила, що JavaScript-фреймворк, пов’язаний з Coruna, був розгорнутий на величезній кількості підроблених китайських вебсайтів, багато з яких мають фінансову тематику. Один конкретний приклад включав шахрайську сторінку криптообміну під брендом WEEX, яка намагалася заманити відвідувачів, що використовують пристрої iOS. Як тільки користувач отримував доступ до скомпрометованої сторінки, в неї вставлявся прихований iFrame, щоб доставити експлойт-кит, незалежно від геолокації користувача.

GTIG підкреслила значущість цих механізмів доставки, зазначивши, що просте відвідування шкідливої сторінки з вразливого iPhone може запустити процес експлуатації. Фреймворк здатний зняти відбиток пристрою, щоб визначити його модель та версію iOS, а потім завантажити відповідний експлойт віддаленого виконання коду WebKit разом з обходом автентифікації вказівника (PAC).

Навантаження та можливості

Експлойт-кит завершується розгортанням стейджера, відомого як PlasmaLoader, також відстежуваного як PLASMAGRID. На відміну від традиційних інструментів спостереження, PlasmaLoader зосереджений на крадіжці фінансових даних. GTIG повідомила, що навантаження може декодувати QR-коди з зображень, збережених на пристрої, і сканувати текстові об’єкти на предмет послідовностей слів BIP39, включаючи ключові слова, такі як “фраза резервного копіювання” і “банківський рахунок”. Ця інформація може бути ексфільтрована з різних додатків, включаючи Apple Memos.

Модульна природа навантаження дозволяє йому завантажувати та виконувати додаткові модулі віддалено. Багато з цих модулів націлені на перехоплення та ексфільтрацію чутливої інформації з популярних крипто-гаманців, таких як MetaMask, Trust Wallet, гаманець Uniswap, Phantom, Exodus та Tonkeeper.

Від автора

Це попередження від GTIG підкреслює еволюцію тактик, які використовують кіберзлочинці для націлення на мобільних користувачів, особливо у криптопросторі. Здатність експлойт-киту Coruna безшумно компрометувати пристрої, просто відвідуючи шкідливу веб-сторінку, ілюструє зростаючу складність таких загроз. Оскільки мобільні гаманці залишаються в центрі уваги криптоактивності, користувачі повинні залишатися пильними та вживати проактивних заходів для захисту своїх активів.

Вплив на крипторинок

• Зростання обізнаності серед власників криптовалюти щодо ризиків безпеки, пов’язаних з мобільними гаманцями.
• Потенційне зростання попиту на покращені заходи та рішення безпеки в криптоспільноті.
• Підвищений контроль над мобільними додатками та їх вразливостями, особливо тими, що стосуються фінансових транзакцій.
• Можливі наслідки для впевненості користувачів у мобільних криптотранзакціях, що призведе до змін у способах доступу до криптовалюти та її управління.
• Вплив на регуляторні обговорення, що стосуються мобільної безпеки та захисту користувачів на крипторинку.