Google, kripto cüzdan seed ifadelerini hedefleyen iPhone exploit kitini ortaya çıkardı

Güvenlik araştırmacıları, Apple iPhone'larını hedef alan ve kripto cüzdanı verilerini çalmaya yönelik bir saldırı araç seti keşfettiler.

Google'daki tehdit analistleri, exploit kitinin özellikle kripto kullanıcılarını hedef aldığını; enfekte cihazlarda cüzdan seed ifadeleri ve diğer finansal bilgileri aradığını söylüyor.

Coruna adıyla bilinen araç, daha eski iOS sürümlerini çalıştıran iPhonelere odaklanıyor.

Google Threat Intelligence Group'a göre, kit hedef alınan cihazlardan hassas bilgilere erişebilen bir dizi exploit zinciri içeriyor.

Araştırmacılar, saldırı altyapısının parçalarını ilk olarak 2025 başında tespit ettiklerini ve daha sonra exploit'in hem casusluk faaliyetlerinde hem de dijital varlıkları çalmayı amaçlayan sahte kripto internet siteleri ağlarında göründüğünü gözlemlediklerini söyledi.

Exploit kiti daha eski iOS cihazlarını hedefliyor

Araştırmacılar, Coruna'nın iOS 13.0 ile 17.2.1 arasındaki sürümleri çalıştıran iPhonelere yönelik olduğunu belirtti.

Framework beş tam exploit zinciri ve toplam 23 güvenlik açığı içeriyor; bunların arasında daha önce bilinmeyen birkaç exploit de bulunuyor.

Google Threat Intelligence Group, toolkitin ilk izlerinin Şubat 2025'te bir gözetim şirketi müşterisini içeren bir soruşturma sırasında ortaya çıktığını söyledi.

Saldırganlar, ziyaret eden cihazların özelliklerini belirlemek için JavaScript kodu kullandı.

Bu, uygun exploit zincirini teslim etmeden önce iPhone'un zafiyete sahip olup olmadığını belirlemelerini sağladı.

Araştırmacılar, exploit'in en güncel iOS sürümlerinde çalışmadığını belirtti.

Bu nedenle kullanıcıların Apple'ın yayınladığı en son güncellemeleri yüklemelerini veya gelişmiş siber saldırılara karşı tasarlanmış bir güvenlik özelliği olan Lockdown Mode'u etkinleştirmelerini tavsiye ettiler.

Saldırı sahte kripto siteleri aracılığıyla yayılıyor

İleri analizler, exploit framework'ünün daha sonra birçok ele geçirilmiş Ukrayna sitesinde ortaya çıktığını gösterdi.

Kötü amaçlı kod, yalnızca belirli coğrafi bölgelerde bulunan seçilmiş iPhone kullanıcılarına teslim edilecek şekilde yapılandırılmıştı.

Araştırmacılar daha sonra aynı framework'ün, finans ve kripto hizmetleriyle bağlantılı büyük bir sahte Çin sitesi ağında gömülü olduğunu tespit etti.

Bu sitelerden bazıları meşru platformları taklit ediyordu.

Araştırmacıların keşfettiği örneklerden biri kripto borsası WEEX'i taklit ediyordu.

Bir iPhone kullanıcısı bu sitelerden birini ziyaret ettiğinde exploit kiti cihaza teslim ediliyor.

Yazılım daha sonra telefonda finansal bilgi aramak için mesajları ve depolanan verileri tarıyor; seed ifadeleri ve "backup phrase" veya "bank account" gibi anahtar kelimeleri analiz ediyor.

Exploit ayrıca cüzdan verilerini bulmak için Uniswap ve MetaMask gibi yüklü kripto uygulamalarını da arıyor.

İstihbarat bağlantıları ilk olarak tespit edildi

Araştırmacılar, exploit kitinin başlangıçta Ukraynalı bireyleri hedef alan şüpheli bir Rus istihbarat grubuyla bağlantılı olduğunu söyledi.

Sonraki soruşturmalar, aynı altyapının fon çalmayı amaçlayan sahte kripto sitesi kampanyalarında kullanıldığını ortaya koydu.

Exploit framework'ünün istihbarat ve finans saldırıları arasında yeniden kullanılması, gelişmiş saldırı altyapılarının tehdit grupları arasında nasıl yayıldığını gösteriyor.

Kökeni hâlâ tartışmalı

Coruna exploit kitinin kaynağı belirsizliğini koruyor ve siber güvenlik araştırmacıları arasında tartışılıyor.

Mobil güvenlik şirketi iVerify'in WIRED'e söylediğine göre, kitin karmaşıklığı ve geliştirme maliyeti nedeniyle ABD hükümeti tarafından geliştirilmiş veya satın alınmış olabileceği düşünülüyor.

Ancak Kaspersky'deki araştırmacılar, Coruna'yı daha önce bilinen ABD hükümeti siber araçlarıyla ilişkilendiren kod yeniden kullanımı olduğuna dair herhangi bir kanıt bulamadıklarını belirtti.

Başlıca bir güvenlik araştırmacısı The Register'a, şu anda mevcut raporların bu atfı desteklemediğini söyledi.