W erze, w której waluty cyfrowe stają się coraz bardziej popularne, zagrożenia cyberbezpieczeństwa ewoluowały, aby celować w te nowe formy bogactwa. Badacze z Google niedawno wydali poważne ostrzeżenie dotyczące zaawansowanego narzędzia do cyberataków znanego jako "Coruna", które jest specjalnie zaprojektowane do wykorzystywania starszych wersji systemu operacyjnego iPhone firmy Apple. To złośliwe oprogramowanie ma na celu kradzież informacji z portfeli kryptowalutowych, stanowiąc znaczące ryzyko dla użytkowników, którzy nadal korzystają z przestarzałych wersji iOS. Ten artykuł zagłębia się w szczegółowe ustalenia Grupy Wywiadu Zagrożeń Google (GTIG) i dostarcza wglądu w szersze implikacje tego zagrożenia cybernetycznego.
Zestaw exploitów Coruna reprezentuje potężny krajobraz zagrożeń, celujący w urządzenia działające na wersjach iOS od 13.0 do 17.2.1, obejmując okres wydania między 2019 a 2023 rokiem. Zawiera pięć w pełni skonstruowanych łańcuchów exploitów iOS i 23 indywidualne luki, z których niektóre były wcześniej nieznane publicznie. Wektor ataku jest zazwyczaj inicjowany przez fałszywe strony internetowe kryptowalut, które dostarczają exploita, gdy są odwiedzane przez dotknięte urządzenia. Ukryty kod na tych stronach jest zdolny do przeprowadzenia szczegółowej analizy urządzenia przed uruchomieniem dostosowanego ataku mającego na celu wykradzenie informacji finansowych.
Coruna jest szczególnie biegła w celowaniu w frazy seed portfeli kryptowalutowych, kluczowe informacje potrzebne do odzyskiwania portfeli. Skanuje wiadomości w poszukiwaniu słów kluczowych takich jak "fraza zapasowa" lub "konto bankowe". Ponadto exploit koncentruje się na danych powiązanych z popularnymi aplikacjami kryptowalutowymi, takimi jak MetaMask i Uniswap, zwiększając ryzyko dla użytkowników, którzy intensywnie angażują się w aktywa cyfrowe. To podkreśla rosnące powiązanie między zagrożeniami cyberbezpieczeństwa a rozwijającym się światem zdecentralizowanych finansów.
Zestaw exploitów Coruna został po raz pierwszy zidentyfikowany w lutym 2025 roku. Początkowo zaobserwowany w operacjach prowadzonych przez dostawców nadzoru próbujących skompromitować urządzenia mobilne, później pojawił się na zhakowanych ukraińskich stronach internetowych. Tam dostarczał ukierunkowane ataki na konkretnych użytkowników iPhone'ów w oparciu o ich lokalizację geograficzną. Pod koniec roku Coruna została włączona do licznych fałszywych stron internetowych związanych z finansami, prawdopodobnie powiązanych z chińskimi sieciami cyberprzestępczymi. Te strony często podszywały się pod legalne platformy handlu kryptowalutami, aby zwabić niczego niepodejrzewające ofiary.
Pomimo trwających dochodzeń, pozostaje niejasne, jak Coruna rozprzestrzeniła się poza swoje początkowe granice. Niektórzy eksperci sugerują obecność aktywnego rynku dla wcześniej opracowanych narzędzi hakerskich, które cyberprzestępcy mogą przekształcać na potrzeby nowych kampanii. Firmy zajmujące się bezpieczeństwem, takie jak iVerify, podkreślają złożoność exploita, zauważając, że ucieleśnia on zaawansowanie i zasoby podobne do narzędzi cybernetycznych sponsorowanych przez państwo. Jednak brak jednoznacznych dowodów technicznych sprawia, że łączenie exploita z jakimkolwiek podmiotem rządowym jest co najwyżej spekulacyjne.
Badacze z Google podkreślają, że exploit Coruna nie kompromituje urządzeń działających na najnowszych wersjach iOS. Zdecydowanie zalecają, aby użytkownicy iPhone'ów aktualizowali swoje oprogramowanie, aby zminimalizować potencjalne ryzyko. Te aktualizacje często zawierają niezbędne poprawki bezpieczeństwa, które zamykają luki wykorzystywane przez takie złośliwe oprogramowanie. Dla tych, którzy są bardziej narażeni na zagrożenia cybernetyczne, włączenie trybu blokady Apple może dodatkowo chronić urządzenia, ograniczając wektory ataku.
Ostrzeżenie wydane przez badaczy bezpieczeństwa Google rezonuje z użytkownikami na całym świecie, zwłaszcza w regionach, gdzie adopcja kryptowalut jest powszechna. W krajach takich jak Nigeria, gdzie aktywa cyfrowe odnotowały znaczny wzrost, cyberprzestępcy często używają fałszywych platform inwestycyjnych lub stron phishingowych, aby wyciągnąć wrażliwe dane portfela od użytkowników. W miarę jak kryptowaluty stają się bardziej integralne dla ekosystemów finansowych na całym świecie, potrzeba solidnych środków cyberbezpieczeństwa jest bardziej krytyczna niż kiedykolwiek.
Odkrycie exploita Coruna służy jako wyraźne przypomnienie o nieustannie ewoluującym charakterze zagrożeń cybernetycznych w erze cyfrowej. W miarę jak smartfony i kryptowaluty stają się integralną częścią codziennego życia, zapewnienie, że urządzenia są na bieżąco z najnowszymi poprawkami bezpieczeństwa, jest kluczowe. Dla użytkowników, którzy handlują lub przechowują kryptowaluty na swoich urządzeniach, utrzymanie czujności wobec prób phishingu i korzystanie z funkcji bezpieczeństwa, takich jak tryb blokady, może zapewnić dodatkową warstwę ochrony. Jak zawsze, najlepszą obroną przed takimi zagrożeniami pozostaje edukacja, proaktywne praktyki bezpieczeństwa i terminowe aktualizacje.
