Το Threat Intelligence Group (GTIG) της Google έχει α νέα έκθεση σχετικά με ένα ισχυρό κιτ εκμετάλλευσης iOS που ονομάζεται “Coruna”, το οποίο ταξίδεψε από τον πελάτη ενός πωλητή παρακολούθησης σε μια ρωσική ομάδα κατασκοπείας σε κινέζους εγκληματίες στον κυβερνοχώρο, αποκαλύπτοντας μια εξελιγμένη “αλυσίδα εφοδιασμού” εκμετάλλευσης στη διαδικασία.
Περιγραφόμενο ως ένα από τα πιο ολοκληρωμένα κιτ εργαλείων εκμετάλλευσης iOS που έχουν τεκμηριωθεί δημόσια, η Coruna στοχεύει iPhone που εκτελούν iOS 13.0 έως iOS 17.2.1, που περιέχει 23 exploits σε τέσσερα χρόνια εκδόσεων iOS.
Σύμφωνα με το GTIG, εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2025, όταν χρησιμοποιήθηκε από έναν πελάτη ενός πωλητή εμπορικής επιτήρησης. Μέχρι το καλοκαίρι του 2025, το ίδιο πλαίσιο εμφανιζόταν σε επιθέσεις από το νερό (όπου ένας εισβολέας παραβιάζει ιστότοπους που είναι πιθανό να επισκεφτούν οι επιδιωκόμενοι στόχοι του) από μια ύποπτη ρωσική ομάδα κατασκοπείας που στόχευε Ουκρανούς χρήστες.
Στη συνέχεια, στα τέλη του 2025, ένας ηθοποιός με έδρα την Κίνα, με οικονομικά κίνητρα, το ανέπτυξε σε ένα μεγάλο δίκτυο ψεύτικων ιστοσελίδων χρηματοοικονομικών και κρυπτογράφησης. Η GTIG είπε ότι δεν ήταν σαφές πώς το κιτ εκμετάλλευσης πέρασε από ηθοποιό σε ηθοποιό, αλλά ότι προτείνει μια ενεργή αγορά για «μεταχειρισμένα» exploits zero-day.
Όσο για το περιεχόμενο του κιτ, περιγράφεται ως εξαιρετικά καλά σχεδιασμένο. Όταν κάποιος επισκέπτεται έναν μολυσμένο ιστότοπο, καταλαβαίνει τι είδους iPhone χρησιμοποιεί και ποια έκδοση λογισμικού εκτελεί και, στη συνέχεια, επιλέγει τη σωστή επίθεση για τη συγκεκριμένη συσκευή. Εάν ο χρήστης έχει ενεργοποιημένη τη λειτουργία κλειδώματος της Apple, το κιτ δεσμεύεται – δεν προσπαθεί καν.
Ο κώδικας επίθεσης είναι ανακατεμένος με ισχυρή κρυπτογράφηση, επομένως είναι δύσκολο για τους ερευνητές ασφαλείας να υποκλέψουν και να αναλύσουν, και είναι συσκευασμένος σε μια προσαρμοσμένη μορφή που προφανώς επινόησαν οι ίδιοι οι προγραμματιστές. Ο κώδικας περιλαμβάνει επίσης λεπτομερείς σημειώσεις γραμμένες στα Αγγλικά που εξηγούν πώς λειτουργεί όλα και χρησιμοποιεί τεχνικές επίθεσης που δεν έχουν εμφανιστεί δημόσια στο παρελθόν, σύμφωνα με την ανάλυση του GTIG.
Το κιτ στοχεύει πορτοφόλια κρυπτονομισμάτων και οικονομικά δεδομένα και είναι σε θέση να συνδεθεί σε 18 διαφορετικές εφαρμογές κρυπτογράφησης για να εκμεταλλευτεί τα διαπιστευτήρια του πορτοφολιού. Το ωφέλιμο φορτίο μπορεί να αποκωδικοποιήσει κωδικούς QR από εικόνες στο δίσκο και διαθέτει επίσης μια ενότητα για την ανάλυση των σταγόνων κειμένου για να αναζητήσει ακολουθίες λέξεων BIP39 ή πολύ συγκεκριμένες λέξεις-κλειδιά όπως “εφεδρική φράση” ή “τραπεζικός λογαριασμός”. Σαρώνει ακόμη και τις σημειώσεις της Apple για τυπικές φράσεις σποράς.
Όποιος εξακολουθεί να είναι σε iOS 17.2.1 ή παλαιότερη έκδοση είναι δυνητικά ευάλωτος στο κιτ εκμετάλλευσης, το οποίο δεν λειτουργεί σε νεότερες εκδόσεις iOS, οπότε φροντίστε να ενημερώσετε εάν μπορείτε. Διαφορετικά, φαίνεται να είναι ότι το Lockdown Mode της Apple κάνει τη δουλειά του για να αποκρούσει ένα τόσο ισχυρό κιτ εκμετάλλευσης και αυτό μπορεί να είναι μόνο καλά νέα για όσους το ενεργοποιήσουν.
VIA: macrumors.com
