A Coruna egy fejlett iOS exploit kit, amit a Google Threat Intelligence Group azonosított, és 23 exploitból álló láncokat használ iPhone-ok támadására. Ez öt teljes exploit láncot tartalmaz, amelyek iOS 13.0-tól (2019 szeptember) iOS 17.2.1-ig (2023 december) érintett verziókra céloznak, főleg Safari böngészőbeli sérülékenységeket kihasználva.
Felfedezés
A kitet 2025 februárjában fedezték fel először egy kereskedelmi kémkedő cég ügyfelénél, majd orosz kémcsoport (UNC6353) használta ukrán waterhole támadásokban, végül kínai pénzügyi csalók (UNC6691) terjesztették csaló weboldalakról. A név egy debug verzió kódjából derült ki, ahol a fejlesztők belső nevei láthatóak voltak.
Működés
Rejtett JavaScript fingerprintinggel ellenőrzi a készüléket (pl. Lockdown Mode-ot, privát böngészést), majd WebKit RCE-t (pl. CVE-2024-23222) indít, ezt követi kernel exploit (LPE), végül PlasmaLoader nevű stager töltődik be root jogosultsággal powerd-be. Moduláris felépítésű, ChaCha20 titkosítással és egyedi cookie-val védett, ellenáll kutatói környezeteknek (pl. Corellium).
Cél és payload
Pénzügyi adatokat lop, főleg kriptotárca appokból (MetaMask, Trust Wallet, stb.), QR kódokat dekódol, szövegeket keres "backup phrase" kulcsszavakra. További modulokat tölt le C2 szerverekről (pl. .xyz domainek DGA-val), SMS/iMessage backup-ként használva kommunikál.
Hatás és védelem
Tízezrek fertőződhettek meg, főleg Kínában; Apple már foltozta a sérülékenységeket. Frissítsd iOS-t a legújabb verzióra, engedélyezd Lockdown Mode-ot, kerüld gyanús oldalakat.
Hozzászólások
Jelentkezz be a hozzászóláshoz.
Még nincs hozzászólás. Legyél az első!