جوجل تكشف Coruna — استغلال يسرق عبارات استرداد محافظ التشفير على آيفون

كشف باحثون في الأمن السيبراني عن مجموعة أدوات للاختراق صُممت لاختراق هواتف آيفون وسرقة بيانات محافظ العملات المشفرة.

يقول محللو التهديدات في جوجل إن مجموعة الاستغلال تستهدف مستخدمي العملات المشفرة بشكل محدد عبر البحث في الأجهزة المصابة عن عبارات الاسترداد للمحافظ ومعلومات مالية أخرى.

الأداة المعروفة باسم Coruna تركز على هواتف آيفون التي تعمل بإصدارات أقدم من iOS.

وفقًا لمجموعة استخبارات التهديدات في جوجل، تحتوي المجموعة على عدة سلاسل استغلال قادرة على الوصول إلى معلومات حساسة من الأجهزة المستهدفة.

قال الباحثون إنهم حدَّدوا أجزاء من البنية التحتية للهجوم لأول مرة في أوائل 2025 ولاحقًا لاحظوا ظهور الاستغلال في أنشطة تجسسية وكذلك في شبكات مواقع إلكترونية احتيالية للعملات المشفرة مصممة لسرقة الأصول الرقمية.

مجموعة الاستغلال تستهدف أجهزة iOS الأقدم

قال الباحثون إن Coruna تستهدف هواتف آيفون التي تعمل بإصدارات iOS من 13.0 حتى 17.2.1.

يحتوي الإطار على خمس سلاسل استغلال كاملة ومجموع 23 ثغرة، بما في ذلك عدة استغلالات كانت غير معروفة سابقًا.

قالت مجموعة استخبارات التهديدات في جوجل إن أول آثار هذه المجموعة ظهرت في فبراير 2025 أثناء تحقيق شمل عميلًا لشركة مراقبة.

استخدم المهاجمون شيفرة JavaScript لعمل بصمة للأجهزة الزائرة.

مكّنهم ذلك من تحديد ما إذا كان الآيفون معرضًا للثغرة قبل إرسال سلسلة الاستغلال المناسبة.

قال الباحثون إن الاستغلال لا يعمل على أحدث إصدارات iOS.

لذلك نصحوا المستخدمين بتثبيت أحدث التحديثات الصادرة عن آبل أو تفعيل وضع القفل (Lockdown Mode)، وهي ميزة أمان مصممة لمواجهة الهجمات الإلكترونية المتقدمة.

مواقع العملات المشفرة المزيفة تُستخدم لتسليم الهجوم

أظهر مزيد من التحليل أن إطار الاستغلال ظهر لاحقًا على عدة مواقع أوكرانية مخترقة.

تم تكوين الشفرة الخبيثة بحيث لا تُسلم إلا لمستخدمي آيفون مختارين يقعون في مناطق جغرافية محددة.

حدّد الباحثون لاحقًا نفس الإطار مضمنًا عبر شبكة كبيرة من المواقع الصينية المزيفة المرتبطة بخدمات مالية وعملات مشفرة.

انتحلت بعض هذه المواقع صفة منصات شرعية.

أحد الأمثلة التي اكتشفها الباحثون انتحال لمنصة تبادل العملات المشفرة WEEX.

عندما يزور مستخدم آيفون أحد هذه المواقع، تُسلم مجموعة الاستغلال إلى الجهاز.

ثم يفحص البرنامج الهاتف عن معلومات مالية، محللاً الرسائل والبيانات المخزنة بحثًا عن عبارات الاسترداد وكلمات مفتاحية مثل عبارة النسخ الاحتياطي أو حساب بنكي.

يبحث الاستغلال أيضًا عن تطبيقات العملات المشفرة المثبتة مثل Uniswap وMetaMask لتحديد بيانات المحافظ.

تم تحديد روابط تجسسية أولًا

قال الباحثون إن مجموعة الاستغلال رُبطت في البداية بجماعة تجسس روسية يُشتبه بها تستهدف أفرادًا أوكرانيين.

أظهرت تحقيقات لاحقة أن نفس البنية التحتية اُستخدمت في حملات تضمنت مواقع عملات مشفرة مزيفة مصممة لسرقة أموال.

يوضح إعادة استخدام إطار الاستغلال عبر عمليات التجسس والهجمات المالية كيف يمكن لبنية اختراق متقدمة أن تنتقل بين مجموعات التهديد.

الأصل لا يزال محل خلاف

لا يزال أصل مجموعة استغلال Coruna غير واضح ويُثار حوله الجدل بين باحثي الأمن السيبراني.

قالت شركة أمن الأجهزة المحمولة iVerify لمجلة WIRED إن مجموعة الأدوات قد تكون طُورت أو شُريت من قبل الحكومة الأمريكية بسبب تعقيدها وتكلفة تطويرها.

ومع ذلك، قال باحثون في Kaspersky إنهم لم يعثروا على دليل يُظهر إعادة استخدام الشيفرة يربط Coruna بأدوات سيبرانية للحكومة الأمريكية المعروفة سابقًا.

قال باحث أمني أول لصحيفة The Register إن التقارير المتاحة حاليًا لا تدعم ذلك الإسناد.