Google descoperă kit iPhone care vizează fraze seed din portofele crypto

Cercetătorii în securitate au descoperit un set de instrumente de hacking conceput pentru a compromite iPhone-urile Apple și a fura date din portofele pentru criptomonede.

Analiștii de amenințări de la Google spun că kitul de exploatare vizează în mod specific utilizatorii de criptomonede, căutând pe dispozitivele infectate fraze seed ale portofelelor și alte informații financiare.

Instrumentul, cunoscut sub numele de Coruna, se concentrează pe iPhone-uri care rulează versiuni mai vechi de iOS.

Potrivit Google Threat Intelligence Group, kitul conține mai multe lanțuri de exploit capabile să acceseze informații sensibile de pe dispozitivele vizate.

Cercetătorii au declarat că au identificat inițial părți din infrastructura atacului la începutul anului 2025 și ulterior au observat exploit-ul apărând atât în activități de spionaj, cât și în rețele de site-uri frauduloase de criptomonede concepute pentru a fura active digitale.

Kitul de exploatare vizează dispozitive iOS mai vechi

Cercetătorii au spus că Coruna vizează iPhone-uri care rulează versiuni iOS de la 13.0 până la 17.2.1.

Cadrul include cinci lanțuri complete de exploit și un total de 23 de vulnerabilități, inclusiv câteva exploit-uri anterior necunoscute.

Google Threat Intelligence Group a spus că primele urme ale kitului au apărut în februarie 2025 în timpul unei investigații ce a implicat un client al unei companii de supraveghere.

Atacanții au folosit cod JavaScript pentru a identifica în mod unic dispozitivele care vizitau paginile.

Acest lucru le-a permis să determine dacă iPhone-ul era vulnerabil înainte de a livra lanțul de exploit adecvat.

Cercetătorii au spus că exploit-ul nu funcționează pe cele mai recente versiuni iOS.

Ei au recomandat, prin urmare, utilizatorilor să instaleze cele mai recente actualizări publicate de Apple sau să activeze Lockdown Mode, o funcție de securitate concepută pentru a contracara atacurile cibernetice sofisticate.

Site-urile false pentru crypto livrează atacul

Analizele ulterioare au arătat că cadrul exploit a apărut ulterior pe mai multe site-uri ucrainene compromise.

Codul malițios a fost configurat astfel încât să fie livrat doar utilizatorilor de iPhone selectați aflați în anumite regiuni geografice.

Cercetătorii au identificat ulterior același cadru încorporat într-o rețea extinsă de site-uri false chinezești legate de servicii financiare și de criptomonede.

Unele dintre aceste site-uri s-au dat drept platforme legitime.

Un exemplu descoperit de cercetători a falsificat schimbul de criptomonede WEEX.

Când un utilizator de iPhone vizitează unul dintre aceste site-uri, kitul de exploatare este livrat pe dispozitiv.

Software-ul scanează apoi telefonul în căutare de informații financiare, analizând mesaje și date stocate pentru fraze seed și cuvinte cheie precum backup phrase sau bank account.

Exploit-ul caută, de asemenea, aplicații pentru criptomonede instalate, precum Uniswap și MetaMask, pentru a localiza datele portofelului.

Legături cu spionajul identificate prima dată

Cercetătorii au spus că kitul de exploatare a fost inițial asociat cu un grup suspectat de spionaj rus care viza persoane din Ucraina.

Investigațiile ulterioare au arătat aceeași infrastructură folosită în campanii care implicau site-uri false pentru crypto create pentru a fura fonduri.

Refolosirea cadrului de exploit în atacuri de spionaj și financiare ilustrează modul în care infrastructura de hacking sofisticată se poate răspândi între grupurile de amenințare.

Originea rămâne disputată

Originea kitului de exploatare Coruna rămâne neclară și este dezbătută între cercetătorii în securitate cibernetică.

Compania de securitate mobilă iVerify a spus pentru WIRED că toolkit-ul ar fi putut fi dezvoltat sau achiziționat de guvernul SUA, având în vedere complexitatea și costurile de dezvoltare.

Totuși, cercetătorii de la Kaspersky au spus că nu au găsit dovezi care să arate reutilizarea de cod ce leagă Coruna de instrumente cibernetice guvernamentale americane cunoscute anterior.

Un cercetător principal în securitate a declarat pentru The Register că rapoartele disponibile în prezent nu susțin acea atribuire.