Googlen Threat Intelligence Group (GTIG) varoittaa, että “tehokas uusi” iOS-hyötypaketti, jota sen kehittäjät kutsuvat Coruñaksi, on otettu käyttöön väärennetyillä rahoitus- ja kryptosivustoilla, jotka on suunniteltu houkuttelemaan iPhone-käyttäjiä vierailemaan sivuilla, jotka saattavat hiljaa tarjota haavoittuvuuksia. Kryptovaluutan haltijoille riski on suuri: GTIG-analyysi osoittaa, että kampanjat keskittyivät lopulta siemenlauseiden ja lompakkotietojen keräämiseen suosituista mobiilisovelluksista.
Coruña kohdistuu Applen laitteisiin, joissa on iOS 13.0 – iOS 17.2.1, ja se ryhmittelee viisi täyttä hyödyntämisketjua ja 23 hyväksikäyttöä. GTIG kertoo saaneensa pakkauksen talteen seurattuaan sen kehitystä vuoden 2025 aikana kaupallisen valvontayrityksen asiakkaan ensimmäisestä käytöstä, “vesireikä” hyökkäyksiin vaarantuneita ukrainalaisia verkkosivustoja vastaan ja lopulta laajamittaiseen jakeluun kiinankielisten huijaussivustojen kautta, jotka on linkitetty taloudellisesti motivoituneeseen toimijaan, jonka se seuraa nimellä UNC6691.
iPhone-puhelimille suunniteltu krypto-syötti
Huijausaaltovaiheessa GTIG kertoo havainneensa Coruñan takana olevaa JavaScript-kehystä, joka on otettu käyttöön “erittäin suuressa joukossa” väärennettyjä kiinalaisia verkkosivustoja, jotka liittyvät suurelta osin rahoitukseen. Yksi GTIG:n mainitsema esimerkki on väärennetty WEEX-brändätty kryptovaihtosivu, joka yritti lähettää vierailijoita iOS-laitteeseen, minkä jälkeen piilotettu iFrame ruiskutettiin toimittamaan hyväksikäyttöpaketti “heidän maantieteellisestä sijainnistaan riippumatta”.
Aiheeseen liittyvää luettavaa
Toimitusmekaniikka on tärkeä, koska se hämärtää rajan perinteisen tietojenkalastelun ja suoran laitekompromissin välillä: GTIG:n mukaan pelkkä ansasivun saavuttaminen haavoittuvasta iPhonesta riitti käynnistämään ketjun. Kehys ottaa laitteen sormenjäljet mallin ja iOS-version tunnistamiseksi, lataa sitten sopivan WebKit-koodin etäsuoritustoiminnon ja osoittimen todennuksen ohituksen (PAC).
GTIG linkitti palautumansa WebKit RCE:n CVE-2024-23222:een ja huomautti, että Apple korjasi sen iOS 17.3:ssa 22. tammikuuta 2024.
Ketjun lopussa GTIG kertoo, että Coruña lanseeraa PlasmaLoaderiksi kutsutun laitteen (jatkoa PLASMAGRID) ja kuvailee sitä keskittyvän vähemmän klassisiin valvontatoimintoihin ja enemmän taloustietojen varkauksiin. GTIG:n mukaan hyötykuorma voi purkaa QR-koodeja laitteelle tallennetuista kuvista ja skannata tekstipilkkuja BIP39-sanojen sekvenssien sekä avainsanojen, kuten “varalauseke” ja “pankkitili”, löytämiseksi, mukaan lukien Apple Memosissa, jotka se voi sitten suodattaa.
Aiheeseen liittyvää luettavaa
Myös hyötykuorma on modulaarinen. GTIG sanoo voivansa ottaa käyttöön ja käyttää lisämoduuleja etänä, ja että monet tunnistetuista moduuleista on suunniteltu yhdistämään toimintoja ja vuotamaan arkaluontoisia tietoja yleisistä kryptolompakkosovelluksista, mukaan lukien MetaMask, Trust Wallet, Uniswap-lompakko, Phantom, Exodus ja TON-ekosysteemilompakot, kuten Tonkeeper.
Laajemman kaaren huomasi myös mobiiliturvayritys iVerify, joka julkaisi omat havainnot suunnilleen samaan aikaan GTIG:n raportin kanssa. “Ja juuri niin tapahtui täällä taas, mutta mobiililaitteilla. Puhelimen OEM-valmistajat tekevät parasta työtä, mitä kukaan voi tehdä…”
Mitä kryptovaluutan käyttäjät voivat tehdä nyt
Google sanoo, että Coruña “ei ole tehokas iOS:n uusinta versiota vastaan” ja kehottaa käyttäjiä päivittämään. Jos päivittäminen ei ole mahdollista, GTIG suosittelee Apple Lock Moden ottamista käyttöön. GTIG sanoo myös lisänneensä tunnistetut verkkosivustot ja verkkotunnukset Googlen selaussuojaan vähentääkseen näkyvyyttä entisestään.
Kryptoalustaisille käyttäjille välitön johtopäätös on käytännöllinen: mobiililompakot ovat arvokkaiden omaisuuserien ja tiheän verkkoliikenteen risteyksessä, mikä tekee “visit-to-engagement” -kampanjoista poikkeuksellisen vaarallisia. GTIG:n raportit viittaavat siihen, että huijaussuppilossa ei ollut kyse vain uhrien saamisesta yhdistämään lompakoita, vaan niiden laittaminen oikeaan laitteeseen, oikeaan iOS-versioon, jotta hyväksikäyttö voisi hoitaa loput.
Tämän julkaisun aikaan kryptomarkkinoiden kokonaisarvo oli 2,45 biljoonaa dollaria.
Crypto Market Cap Faces yhteensä 0,786 Fib, 1 viikon kaavio | Lähde: TOTAL osoitteessa TradingView.com
Suositeltu kuva luotu DALL.E:llä, kaavio TradingView.com:sta
