Grupa Google Threat Intelligence Group (GTIG) ostrzega, że na fałszywych stronach internetowych poświęconych finansom i kryptowalutom zastosowano „nowy, potężny” zestaw exploitów dla systemu iOS, nazwany przez twórców Coruña, w celu zwabienia użytkowników iPhone’a do odwiedzania stron, które mogą dyskretnie oferować luki w zabezpieczeniach. Dla posiadaczy kryptowalut ryzyko jest ogromne: analiza GTIG pokazuje, że kampanie ostatecznie skupiały się na zbieraniu fraz początkowych i danych portfela z popularnych aplikacji mobilnych.
Coruña atakuje urządzenia Apple z systemem iOS 13.0 do iOS 17.2.1, grupując pięć pełnych łańcuchów exploitów i 23 exploity. GTIG twierdzi, że odzyskało zestaw po prześledzeniu jego ewolucji w 2025 r., od początkowego użycia przez klienta komercyjnej firmy zajmującej się monitoringiem, przez ataki typu „waterwater” na skompromitowane ukraińskie strony internetowe, aż w końcu do dystrybucji na dużą skalę za pośrednictwem chińskojęzycznych witryn z oszustwami powiązanymi z aktorem motywowanym finansowo, którego śledzi jako UNC6691.
Wabik kryptowalutowy zaprojektowany dla iPhone’ów
GTIG twierdzi, że zaobserwowało w fazie fali oszustw framework JavaScript stojący za Coruñą wdrożony na „bardzo dużym zestawie” fałszywych chińskich witryn internetowych, głównie związanych z finansami. Jednym z przykładów cytowanych przez GTIG jest fałszywa strona wymiany kryptowalut pod marką WEEX, która próbowała odesłać odwiedzających do urządzenia z systemem iOS, po czym wstrzyknięto ukrytą ramkę iFrame w celu dostarczenia zestawu exploitów „niezależnie od ich geolokalizacji”.
Powiązane lektury
Mechanika dostarczania jest ważna, ponieważ zaciera granicę między tradycyjnym phishingiem a bezpośrednim naruszeniem bezpieczeństwa urządzenia: jak podaje GTIG, samo dotarcie do strony pułapki z podatnego na ataki iPhone’a wystarczyło, aby rozpocząć łańcuch. Struktura pobiera odcisk palca urządzenia w celu zidentyfikowania modelu i wersji systemu iOS, a następnie ładuje odpowiedni exploit do zdalnego wykonania kodu WebKit i obejście uwierzytelniania wskaźnika (PAC).
GTIG powiązał odzyskany WebKit RCE z CVE-2024-23222, zauważając, że Apple naprawił ten problem w iOS 17.3 22 stycznia 2024 r.
Na końcu łańcucha GTIG twierdzi, że Coruña wprowadza na rynek urządzenie, które nazywa PlasmaLoader (w dalszym ciągu PLASMAGRID) i opisuje je jako skupiające się mniej na klasycznych funkcjach nadzoru, a bardziej na kradzieży informacji finansowych. Według GTIG ładunek może dekodować kody QR z obrazów przechowywanych na urządzeniu i skanować plamy tekstu w poszukiwaniu sekwencji słów BIP39 wraz ze słowami kluczowymi, takimi jak „fraza zapasowa” i „konto bankowe”, w tym w Apple Memos, które następnie może filtrować.
Powiązane lektury
Ładowność jest również modułowa. GTIG twierdzi, że może zdalnie wdrażać i uruchamiać dodatkowe moduły, a wiele ze zidentyfikowanych modułów zaprojektowano w celu łączenia funkcji i wycieku wrażliwych informacji z popularnych aplikacji portfeli kryptograficznych, w tym MetaMask, Trust Wallet, portfela Uniswap, Phantom, Exodus i portfeli ekosystemowych TON, takich jak Tonkeeper.
Szerszy problem zauważyła także firma iVerify zajmująca się bezpieczeństwem mobilnym, która opublikowała własne ustalenia mniej więcej w tym samym czasie, co raport GTIG. „I dokładnie to samo wydarzyło się w tym przypadku, ale na urządzeniach mobilnych. Producenci OEM telefonów wykonują najlepszą robotę, jaką można zrobić…”
Co mogą teraz zrobić użytkownicy kryptowalut
Google twierdzi, że Coruña „nie jest skuteczna w przypadku najnowszej wersji iOS” i nalega, aby użytkownicy ją zaktualizowali. Jeśli aktualizacja nie jest możliwa, GTIG zaleca włączenie trybu Apple Lock. GTIG twierdzi również, że dodało zidentyfikowane witryny i domeny do Bezpiecznego przeglądania Google, aby ograniczyć dalsze narażenie.
Dla użytkowników zajmujących się kryptowalutami natychmiastowy wniosek jest praktyczny: portfele mobilne znajdują się na skrzyżowaniu aktywów o wysokiej wartości i ruchu internetowego o dużej częstotliwości, co sprawia, że kampanie typu „wizyta w celu zaangażowania” są wyjątkowo niebezpieczne. Z raportów GTIG wynika, że lejek oszustwa nie polegał jedynie na nakłonieniu ofiar do podłączenia portfeli, ale na umieszczeniu ich na właściwym urządzeniu z odpowiednią wersją systemu iOS, aby exploit mógł zająć się resztą.
W momencie tej publikacji całkowita kapitalizacja rynku kryptowalut wyniosła 2,45 biliona dolarów.
Całkowita kapitalizacja rynkowa kryptowalut wynosi 0,786 Fib, wykres 1-tygodniowy | Źródło: TOTAL na TradingView.com
Wyróżniony obraz stworzony za pomocą DALL.E, wykres z TradingView.com
