Συναγερμός από την Google: Το exploit “Coruna” χτυπά iPhone και ψάχνει crypto wallets και seed phrases

Ένα νέο κύμα κυβερνοεπιθέσεων που στοχεύει κατόχους κρυπτονομισμάτων φέρνει στο φως η Google, προειδοποιώντας για ένα ιδιαίτερα ισχυρό exploit kit με την ονομασία Coruna, το οποίο εκμεταλλεύεται ευπάθειες σε παλαιότερες εκδόσεις του iOS και μπορεί να κλέψει κρίσιμα οικονομικά δεδομένα από iPhone συσκευές.

Κάρτα Crypto EtherFI: https://bit.ly/cryptocard4u 3% επιστροφή χρημάτων σε όλες τις αγορές.

Σύμφωνα με την Google Threat Intelligence Group (GTIG), το Coruna αποτελεί ένα εξελιγμένο εργαλείο hacking που χρησιμοποιείται σε επιθέσεις μέσω κακόβουλων ιστοσελίδων. Οι επιθέσεις αυτές έχουν στόχο κυρίως χρήστες που διατηρούν crypto wallets, seed phrases ή άλλα οικονομικά στοιχεία στις συσκευές τους. Το exploit kit ενεργοποιείται όταν ένας χρήστης επισκεφθεί συγκεκριμένες ιστοσελίδες και, εφόσον η συσκευή του είναι ευάλωτη, ξεκινά μια αλυσίδα εκμετάλλευσης που μπορεί να οδηγήσει σε πλήρη πρόσβαση στα δεδομένα.

Η Google αποκάλυψε ότι το Coruna περιλαμβάνει πέντε διαφορετικές exploit chains και συνολικά 23 exploits, τα οποία έχουν σχεδιαστεί για να παρακάμπτουν την ασφάλεια του iOS και να αποκτούν πρόσβαση στο σύστημα της συσκευής. Οι επιθέσεις στοχεύουν κυρίως iPhone που τρέχουν iOS από την έκδοση 13 έως και την 17.2.1, κάτι που σημαίνει ότι εκατομμύρια συσκευές παγκοσμίως ενδέχεται να βρίσκονται σε κίνδυνο εάν δεν έχουν εγκαταστήσει τις τελευταίες ενημερώσεις ασφαλείας.

Η διαδικασία της επίθεσης είναι ιδιαίτερα ύπουλη. Όταν ένας χρήστης ανοίξει μια κακόβουλη σελίδα, ένα κρυφό script ενσωματώνει ένα iFrame που ενεργοποιεί το exploit kit. Στη συνέχεια το Coruna πραγματοποιεί fingerprinting της συσκευής, αναγνωρίζοντας το μοντέλο του iPhone και την έκδοση iOS ώστε να επιλέξει το κατάλληλο exploit για να διεισδύσει στο σύστημα.

Αν η επίθεση επιτύχει, εγκαθίσταται ένα κακόβουλο payload το οποίο η Google συνδέει με το εργαλείο PLASMAGRID, ένα implant σχεδιασμένο να συλλέγει οικονομικές πληροφορίες από τη συσκευή. Σε αντίθεση με τα παραδοσιακά spyware που στοχεύουν επικοινωνίες ή μηνύματα, το συγκεκριμένο payload φαίνεται να επικεντρώνεται κυρίως σε χρηματοοικονομικά δεδομένα και crypto wallets.

Ένα από τα πιο ανησυχητικά στοιχεία της ανάλυσης είναι ότι το Coruna μπορεί να αναζητά seed phrases και ευαίσθητα δεδομένα μέσα σε εφαρμογές σημειώσεων, όπως το Apple Notes, ελέγχοντας αν υπάρχουν λέξεις ή φράσεις που σχετίζονται με backup keys ή τραπεζικά στοιχεία. Επιπλέον, το κακόβουλο λογισμικό έχει τη δυνατότητα να αναλύει εικόνες που υπάρχουν στη συσκευή για να εντοπίσει QR codes που μπορεί να περιέχουν wallet πληροφορίες.

Η έρευνα της Google δείχνει επίσης ότι το exploit kit περιλαμβάνει μηχανισμούς για τον εντοπισμό συγκεκριμένων crypto εφαρμογών, ανάμεσα στις οποίες βρίσκονται δημοφιλή wallets όπως MetaMask, Phantom, Trust Wallet, Exodus, TronLink, Solflare και άλλα. Αυτό υποδηλώνει ότι οι επιτιθέμενοι στοχεύουν άμεσα χρήστες που διαχειρίζονται ψηφιακά περιουσιακά στοιχεία από το κινητό τους.

Η προέλευση των επιθέσεων φαίνεται να συνδέεται με διαφορετικές ομάδες απειλών. Σύμφωνα με την Google, σε πρώιμο στάδιο το exploit χρησιμοποιήθηκε σε στοχευμένες επιθέσεις κατασκοπείας, ενώ αργότερα εμφανίστηκε και σε ευρύτερες καμπάνιες με οικονομικά κίνητρα. Σε ορισμένες περιπτώσεις, οι επιθέσεις πραγματοποιήθηκαν μέσω λεγόμενων watering hole sites, δηλαδή ιστοσελίδων που μιμούνται νόμιμες χρηματοοικονομικές πλατφόρμες ή crypto υπηρεσίες.

Το κρίσιμο σημείο είναι ότι η ευπάθεια που χρησιμοποιείται σε ορισμένες exploit chains έχει ήδη διορθωθεί από την Apple με νεότερες ενημερώσεις του iOS. Για τον λόγο αυτό, οι ειδικοί ασφαλείας επιμένουν ότι η πιο αποτελεσματική προστασία είναι η άμεση εγκατάσταση των τελευταίων updates.

Παράλληλα, η Google επισημαίνει ότι η λειτουργία Lockdown Mode του iOS μπορεί να μπλοκάρει συγκεκριμένες τεχνικές που χρησιμοποιεί το Coruna, ενώ προτείνεται στους χρήστες να αποφεύγουν την αποθήκευση seed phrases ή private keys σε εφαρμογές σημειώσεων, screenshots ή φωτογραφίες μέσα στο κινητό.

Η υπόθεση Coruna αποτελεί ακόμη μια υπενθύμιση ότι όσο αυξάνεται η αξία και η υιοθέτηση των κρυπτονομισμάτων, τόσο μεγαλώνει και το ενδιαφέρον των hackers για τα ψηφιακά πορτοφόλια των χρηστών. Οι mobile συσκευές έχουν εξελιχθεί σε βασικό σημείο πρόσβασης για crypto συναλλαγές, γεγονός που τις καθιστά έναν από τους πιο ελκυστικούς στόχους για επιθέσεις.

Με τις επιθέσεις να γίνονται ολοένα και πιο εξελιγμένες, η ασφάλεια των crypto assets δεν εξαρτάται πλέον μόνο από τα ίδια τα wallets αλλά και από το πόσο ασφαλές είναι το οικοσύστημα της συσκευής που χρησιμοποιεί ο χρήστης. Και όπως δείχνει η προειδοποίηση της Google, ακόμη και ένα απλό άνοιγμα μιας κακόβουλης ιστοσελίδας μπορεί να είναι αρκετό για να θέσει σε κίνδυνο ολόκληρο το ψηφιακό πορτοφόλι.

Για περισσότερα ενημερωμένα νέα, βρείτε μας στο Twitter ή εγγραφείτε στο κανάλι μας στο YouTube .

Ποια είναι η γνώμη σας για το συγκεκριμένο θέμα; Αφήστε μας το σχόλιο σας από κάτω! Πάντα μας ενδιαφέρει η γνώμη σας!

Αρθρογράφος: Dimitrios Alexandridis