Złożony zestaw narzędzi do eksploatacji iPhone'a o nazwie Coruna jest aktywnie używany do kradzieży kluczy do portfeli kryptowalutowych z podatnych iPhone'ów.
1. Coruna atakuje iPhone'y działające na iOS 13–17.2.1 poprzez złośliwe strony finansowe i fałszywe strony kryptowalutowe, wykorzystując 23 powiązane luki, aby cicho przejąć kontrolę nad urządzeniami.
2. Po zainstalowaniu skanuje zdjęcia, notatki i aplikacje portfelowe (na przykład MetaMask, Phantom, Trust Wallet) w poszukiwaniu fraz seed, kodów QR i kluczy, umożliwiając nieodwracalne kradzieże funduszy.
3. Aktualizacja do najnowszego iOS (17.3 lub nowszego), korzystanie z trybu Lockdown oraz trzymanie fraz seed całkowicie offline znacznie zmniejsza ryzyko związane z tą klasą eksploatacji.
Głębokie zanurzenie
1. Czym jest Coruna i kogo atakuje
Grupa ds. zagrożeń Google’a i inni badacze opisują Corunę jako zestaw 23 luk w zabezpieczeniach iOS w pięciu łańcuchach exploitów, które celują w urządzenia na iOS 13.0 do 17.2.1. Nowsze wersje (iOS 17.3 i wyżej) łatają główne błędy, na których polega Coruna, więc niezałatane lub starsze iPhone'y stanowią główną powierzchnię ryzyka.
Atakujący wdrażają Corunę przez skompromitowane lub fałszywe strony finansowe i kryptowalutowe, w tym fałszywe giełdy i portale hazardowe, które uruchamiają ukryty framework JavaScript po odwiedzeniu z podatnego iPhone'a. Zestaw zaczynał w kampaniach inwigilacyjnych i szpiegowskich, ale przeszedł do masowych przestępstw finansowych, z jedną kampanią szacowaną na skompromitowanie około 42 000 urządzeń.
Co to oznacza, Jeśli używasz starszego lub niezałatananego iPhone'a do kryptowalut i przeglądasz mniejsze lub nieznane strony handlowe, hazardowe lub airdrop, jesteś w najwyższej grupie ryzyka.
2. Jak kradnie klucze portfela
Coruna działa jako wizyty w ataku kompromitacyjnym, po prostu załadowanie złośliwej strony może uruchomić exploit zdalnego wykonania kodu WebKit, omijając zabezpieczenia sandboxa iOS i dając atakującemu dostęp na wysokim poziomie.
Gdy już wewnątrz, złośliwe oprogramowanie poszukuje konkretnie danych kryptowalutowych. Raporty mówią, że skanuje
1. Katalogi aplikacji portfeli dla MetaMask, Phantom, Trust Wallet, Bitget i innych.
2. Zdjęcia i zrzuty ekranu dla kodów QR i fraz zabezpieczających.
3. Notatki i pliki dla słów kluczowych takich jak fraza zapasowa, nasiona i konto bankowe.
Skradzione frazy zabezpieczające BIP39 i klucze są eksfiltrowane do zdalnych serwerów, co pozwala atakującym na odtworzenie portfeli gdzie indziej i wyczerpanie funduszy bez potrzeby, abyś podpisał złośliwą transakcję.
3. Praktyczne obrony dla użytkowników kryptowalut
Badacze bezpieczeństwa konsekwentnie zalecają trzy warstwy obrony:
1. Zaktualizuj urządzenie, Zaktualizuj do najnowszej wersji iOS; iOS 17.3 i nowsze zamykają znane punkty dostępu Coruny, a tryb blokady Apple'a całkowicie blokuje łańcuchy jej exploitów.
2. Przenieś klucze z telefonu, Przechowuj frazy zabezpieczające na papierze lub karcie portfela sprzętowego, a nie w zdjęciach, notatkach, menedżerach haseł bez silnego szyfrowania, ani w historii e-maili/czatów.
3. Utrwalanie nawyków przeglądania, Unikaj nieznanych stron DeFi o wysokich zyskach, airdropów, kasyn lub giełd na telefonie, który posiada portfele, i preferuj korzystanie z portfeli samoopiekowanych z oddzielnego, czystego urządzenia.
Co to oznacza, Traktuj każdy telefon, który kiedykolwiek przechowywał frazę zabezpieczającą w zdjęciach lub notatkach, podczas korzystania z podatnej wersji iOS, jako potencjalnie skompromitowany i rozważ przeniesienie do nowych portfeli i świeżych kluczy.
Wnioski
Coruna przekształca wcześniej klasyczne exploity iOS w skalowalne narzędzie do kradzieży kryptowalut, z starszymi i niezałatanymi iPhone’ami jako głównym celem. Dla codziennych użytkowników kryptowalut największym ryzykiem nie jest efektowny atak aplikacji, ale ciche utracenie fraz zabezpieczających i kluczy zbieranych z zdjęć, notatek i gorących portfeli na jednym skompromitowanym urządzeniu. Utrzymywanie iOS w pełni zaktualizowanego, oddzielanie długoterminowych zasobów w portfelach sprzętowych lub zimnych oraz nigdy nie przechowywanie fraz odzyskiwania cyfrowo to najskuteczniejsze sposoby na pozostanie o krok przed tą klasą.