Google scopre kit exploit per iPhone che mira alle seed phrase dei wallet crypto

I ricercatori di sicurezza hanno scoperto un toolkit di hacking progettato per compromettere gli iPhone di Apple e rubare dati dei wallet di criptovalute.

Gli analisti delle minacce di Google affermano che il kit di exploit prende di mira specificamente gli utenti crypto cercando, sui dispositivi infetti, le seed phrase dei wallet e altre informazioni finanziarie.

Lo strumento, noto come Coruna, si concentra sugli iPhone con versioni più vecchie di iOS.

Secondo il Google Threat Intelligence Group, il kit contiene diverse catene di exploit in grado di accedere a informazioni sensibili dai dispositivi mirati.

I ricercatori hanno dichiarato di aver identificato per la prima volta parti dell'infrastruttura d'attacco all'inizio del 2025 e di aver poi osservato l'exploit comparire in attività di spionaggio nonché in reti di siti web di criptovalute fraudolenti progettati per rubare asset digitali.

Il kit di exploit prende di mira i dispositivi iOS più vecchi

I ricercatori hanno detto che Coruna prende di mira iPhone con versioni iOS dalla 13.0 fino alla 17.2.1.

Il framework contiene cinque catene di exploit complete e un totale di 23 vulnerabilità, inclusi diversi exploit precedentemente sconosciuti.

Il Google Threat Intelligence Group ha affermato che le prime tracce del toolkit sono comparse a febbraio 2025 durante un'indagine relativa a un cliente di una società di sorveglianza.

Gli aggressori hanno utilizzato codice JavaScript per eseguire il fingerprinting dei dispositivi visitati.

Questo permetteva loro di determinare se l'iPhone fosse vulnerabile prima di consegnare la catena di exploit appropriata.

I ricercatori hanno detto che l'exploit non funziona sulle versioni più recenti di iOS.

Perciò hanno consigliato agli utenti di installare gli aggiornamenti più recenti rilasciati da Apple o di attivare il Lockdown Mode, una funzione di sicurezza progettata per contrastare attacchi informatici sofisticati.

Siti crypto falsi veicolano l'attacco

Analisi successive hanno mostrato che il framework exploit è apparso in seguito su diversi siti ucraini compromessi.

Il codice dannoso era configurato in modo che venisse consegnato solo ad utenti iPhone selezionati situati in specifiche regioni geografiche.

I ricercatori hanno poi identificato lo stesso framework incorporato in un'ampia rete di siti cinesi falsi collegati a servizi finanziari e di criptovalute.

Alcuni di questi siti si spacciavano per piattaforme legittime.

Un esempio scoperto dai ricercatori si è spacciato per l'exchange di criptovalute WEEX.

Quando un utente iPhone visita uno di questi siti, il kit di exploit viene consegnato al dispositivo.

Il software quindi scansiona il telefono alla ricerca di informazioni finanziarie, analizzando messaggi e dati memorizzati per trovare seed phrase e parole chiave come 'backup phrase' o 'bank account'.

L'exploit cerca inoltre applicazioni di criptovalute installate come Uniswap e MetaMask per individuare i dati dei wallet.

Collegamenti con attività di spionaggio identificati

I ricercatori hanno detto che il kit di exploit era inizialmente collegato a un presunto gruppo di spionaggio russo che prendeva di mira individui ucraini.

Indagini successive hanno rivelato che la stessa infrastruttura veniva usata in campagne con siti crypto falsi progettati per rubare fondi.

Il riutilizzo del framework di exploit tra attacchi di spionaggio e finanziari illustra come infrastrutture di hacking sofisticate possano diffondersi tra gruppi di minaccia.

Le origini restano controverse

L'origine del kit di exploit Coruna rimane poco chiara ed è oggetto di dibattito tra i ricercatori di sicurezza informatica.

La società di sicurezza mobile iVerify ha detto a WIRED che il toolkit potrebbe essere stato sviluppato o acquistato dal governo statunitense a causa della sua complessità e del costo di sviluppo.

Tuttavia, i ricercatori di Kaspersky hanno detto di non aver trovato prove di riutilizzo di codice che colleghino Coruna a strumenti informatici del governo USA precedentemente noti.

Un ricercatore senior della sicurezza ha detto a The Register che i rapporti attualmente disponibili non supportano tale attribuzione.