Η Google εντοπίζει exploits για iOS που στοχεύουν σε φράσεις-κλειδιά κρυπτογραφικών πορτοφολιών

Η Google εντοπίζει exploits για iOS που στοχεύουν σε φράσεις-κλειδιά κρυπτογραφικών πορτοφολιών
Η Google βρίσκει κίνδυνο για το πορτοφόλι iOS

Ερευνητές από το Google Threat Intelligence Group ανέφεραν μια νέα εργαλειοθήκη exploit που στοχεύει iPhones και έχει σχεδιαστεί για την κλοπή δεδομένων από πορτοφόλια κρυπτονομισμάτων. Το toolkit, με την ονομασία Coruna, στοχεύει σε συσκευές Apple που τρέχουν εκδόσεις iOS από 13.0 έως 17.2.1.

Αυτό το άρθρο μεταφράστηκε από το πρωτότυπο. Διαβάστε την αρχική έκδοση από τον ανταποκριτή μας εδώ.

Η εργαλειοθήκη περιλαμβάνει δεκάδες ευπάθειες, ορισμένες από τις οποίες ήταν προηγουμένως άγνωστες, γράφει το Cointelegraph. Σύμφωνα με τη Google, οι επιθέσεις παρατηρήθηκαν για πρώτη φορά εναντίον χρηστών στην Ουκρανία, ενώ αργότερα ένα παρόμοιο σχήμα εμφανίστηκε σε ψεύτικους κινεζικούς ιστότοπους που σχετίζονται με χρηματοοικονομικές υπηρεσίες.

Εκμετάλλευση Coruna και ψεύτικοι ιστότοποι κρυπτογράφησης

Σύμφωνα με έκθεση της Google Threat Intelligence Group (GTIG), το Coruna περιέχει πέντε πλήρεις αλυσίδες exploits για ευπάθειες του iOS και συνολικά 23 exploits. Ορισμένα από αυτά δεν ήταν προηγουμένως γνωστά στους ερευνητές κυβερνοασφάλειας.

Η εργαλειοθήκη ανακαλύφθηκε για πρώτη φορά τον Φεβρουάριο του 2025. Οι επιτιθέμενοι χρησιμοποίησαν κώδικα JavaScript που αναγνώριζε το μοντέλο της συσκευής και την έκδοση του iOS πριν παραδώσει το κατάλληλο exploit στο θύμα.

Ο ίδιος μηχανισμός βρέθηκε αργότερα σε παραβιασμένους ουκρανικούς ιστότοπους. Ο κακόβουλος κώδικας εμφανιζόταν μόνο σε χρήστες iPhone από συγκεκριμένες περιοχές. Τον Δεκέμβριο, οι ερευνητές της GTIG εντόπισαν το ίδιο σύστημα σε μεγάλο αριθμό ψεύτικων κινεζικών ιστότοπων που συνδέονται με χρηματοπιστωτικές υπηρεσίες. Ένας από αυτούς μιμούνταν τη διεπαφή του ανταλλακτηρίου κρυπτονομισμάτων WEEX.

Αφού ο χρήστης φορτώσει τη σελίδα, το σύστημα ελέγχει τη συσκευή και προσπαθεί να εντοπίσει οικονομικές πληροφορίες. Συγκεκριμένα, σαρώνει κείμενα που περιέχουν φράσεις σπόρων και λέξεις-κλειδιά όπως "φράση αντιγράφων ασφαλείας" ή "τραπεζικός λογαριασμός". Το exploit αναζητά επίσης εγκατεστημένες εφαρμογές κρυπτογράφησης, συμπεριλαμβανομένων των MetaMask και Uniswap, για να αποκτήσει ευαίσθητα δεδομένα.

Η GTIG σημειώνει ότι η εργαλειοθήκη exploit δεν λειτουργεί στις τελευταίες εκδόσεις του iOS. Οι χρήστες iPhone συνιστάται να ενημερώσουν τις συσκευές τους στην τελευταία έκδοση του συστήματος ή να ενεργοποιήσουν τη λειτουργία Lockdown Mode, η οποία έχει σχεδιαστεί για την προστασία από εξελιγμένες επιθέσεις.

Συζήτηση σχετικά με την προέλευση του εργαλείου

Η προέλευση του Coruna έχει γίνει θέμα συζήτησης μεταξύ των ειδικών σε θέματα κυβερνοασφάλειας. Η Google δεν αποκάλυψε τον πελάτη που βρίσκεται πίσω από την ανάπτυξη, αλλά οι ειδικοί της εταιρείας ασφαλείας iVerify πιστεύουν ότι το εργαλείο θα μπορούσε να συνδέεται με κυβερνητικούς φορείς.

Ο συνιδρυτής της iVerify, Rocky Cole, δήλωσε στο WIRED:

"Είναι εξαιρετικά εξελιγμένο, χρειάστηκαν εκατομμύρια δολάρια για την ανάπτυξή του και φέρει τα χαρακτηριστικά άλλων μονάδων που έχουν αποδοθεί δημοσίως στην κυβέρνηση των ΗΠΑ".

Σύμφωνα με τον ίδιο, τέτοια εργαλεία μπορεί να έχουν καταλήξει στα χέρια άλλων ομάδων:

"Αυτό είναι το πρώτο παράδειγμα που βλέπουμε ότι πολύ πιθανά κυβερνητικά εργαλεία των ΗΠΑ - με βάση αυτά που μας λέει ο κώδικας - βγήκαν εκτός ελέγχου και χρησιμοποιήθηκαν τόσο από τους αντιπάλους μας όσο και από ομάδες κυβερνοεγκληματιών".

Ωστόσο, δεν συμφωνούν όλοι οι εμπειρογνώμονες με αυτή την εκτίμηση. Ένας κύριος ερευνητής ασφαλείας της Kaspersky δήλωσε στο The Register ότι η εταιρεία δεν βρήκε πειστικά στοιχεία επαναχρησιμοποίησης κώδικα που να συνδέουν το Coruna με προγραμματιστές που εργάζονται για κυβερνητικές υπηρεσίες.

Γιατί αυτό έχει σημασία για τους χρήστες κρυπτογράφησης

Η υπόθεση Coruna αναδεικνύει πώς οι κινητές συσκευές παραμένουν βασικός φορέας επίθεσης για τους εγκληματίες που στοχεύουν περιουσιακά στοιχεία κρυπτογράφησης. Ο πρωταρχικός στόχος αυτών των επιθέσεων είναι οι φράσεις σπόρων, οι οποίες επιτρέπουν στους επιτιθέμενους να αποκαταστήσουν την πρόσβαση στο πορτοφόλι και να μεταφέρουν χρήματα χωρίς τη δυνατότητα αντιστροφής της συναλλαγής.

Σύμφωνα με την εταιρεία ασφάλειας blockchain CertiK, το phishing και η κλοπή κλειδιών παραμένουν μεταξύ των πιο συνηθισμένων απειλών που αντιμετωπίζουν οι επενδυτές κρυπτογράφησης. Μόνο το 2025, τέτοιες επιθέσεις οδήγησαν σε απώλειες ύψους περίπου 722 εκατομμυρίων δολαρίων.

Αυτές οι επιθέσεις συνήθως συνδυάζουν πολλές τεχνικές ταυτόχρονα, συμπεριλαμβανομένης της εκμετάλλευσης ευπαθειών του λειτουργικού συστήματος, της χρήσης ψεύτικων ιστότοπων και της σάρωσης εγκατεστημένων εφαρμογών. Ως αποτέλεσμα, οι τακτικές ενημερώσεις λογισμικού και οι πρόσθετες προστασίες, όπως η λειτουργία Lockdown Mode, παραμένουν μερικά από τα πιο αποτελεσματικά μέτρα ασφαλείας για τους χρήστες κρυπτονομισμάτων.

Διαβάστε επίσης: Το Google Cloud επεκτείνει την ευρωπαϊκή εμβέλεια με τη συνεργασία Liberty Global AI

Αυτό το υλικό μπορεί να περιέχει απόψεις τρίτων, κανένα από τα δεδομένα και τις πληροφορίες σε αυτήν την ιστοσελίδα δεν αποτελεί επενδυτική συμβουλή σύμφωνα με την Αποποίηση Ευθυνών μας. Ενώ τηρούμε αυστηρή Συντακτική Ακεραιότητα, αυτή η ανάρτηση μπορεί να περιέχει αναφορές σε προϊόντα από τους συνεργάτες μας.
Εβδομαδιαία Κορυφαία Μπόνους
έως $2.500
μπόνους κατάθεσης για όλους τους πελάτες