Google wykrywa zestaw narzędzi hakerskich o nazwie Coruna, który potajemnie włamuje się do iPhone’ów i kradnie kryptowaluty. Zestaw atakuje popularne portfele takie jak MetaMask, Phantom i Trust Wallet.
Atak nie wymaga żadnych działań ze strony ofiary. Wystarczy odwiedzić zainfekowaną lub fałszywą stronę na niezałatanym iPhone, aby rozpocząć infekcję.
Dlaczego to ważne:
Sponsorowane
Sponsorowane
- iPhone’y z systemem iOS 17.2.1 lub starszym wciąż są podatne na atak. Apple naprawił ostatnie luki dopiero w iOS 17.3, wydanym w styczniu 2024.
- Narzędzie przeszukuje notatki i wiadomości w poszukiwaniu frazy seed do kryptowalut oraz słów kluczowych typu „backup phrase”. Pozwala to hakerom uzyskać pełen dostęp do portfela bez hasła.
- Na celowniku jest 18 aplikacji kryptowalutowych. Użytkownicy MetaMask, Phantom, Exodus, Trust Wallet i Uniswap są zagrożeni bezpośrednią kradzieżą.
Szczegóły:
- GTIG rzekomo odzyskał cały zestaw narzędzi z setek fałszywych stron finansowych i giełd kryptowalut, w tym podrobionej giełdy WEEX.
- Podejrzana rosyjska grupa szpiegowska użyła tego samego narzędzia latem 2025 do atakowania ukraińskich użytkowników iPhone’ów przez zainfekowane strony lokalnych firm.
- Później grupa finansowa z Chin szeroko rozprzestrzeniła go przez strony wyłudzające dane. Dzięki temu Google odzyskał pełny zestaw i nazwał go Coruna.
- Włączenie trybu blokady (Lockdown Mode) w ustawieniach iPhone’a całkowicie blokuje atak — narzędzie wykrywa ten tryb i przestaje działać.
Szerszy kontekst:
- To samo narzędzie przeszło przez firmę inwigilacyjną, rosyjską grupę wspieraną przez państwo oraz chińskich przestępców finansowych. Sugeruje to rosnący wtórny rynek potężnych narzędzi hakerskich.
- Dwa exploity Coruna wcześniej wykorzystano w Operation Triangulation — kampanii szpiegowskiej na iOS w 2023 odkrytej przez Kaspersky, co pokazuje, że wyszukane exploity są używane przez różnych cyberprzestępców.
Aby zapoznać się z najnowszą analizą rynku kryptowalut od BeInCrypto, kliknij tutaj.
