Google detectează exploatări iOS care vizează frazele seed ale portofelelor criptografice.

Google detectează exploatări iOS care vizează frazele seed ale portofelelor criptografice.
Google descoperă un risc pentru portofelul iOS

Cercetătorii de la Google Threat Intelligence Group au raportat un nou set de instrumente de exploatare care vizează iPhone-urile și conceput pentru a fura date din portofelele de criptomonede. Setul de instrumente, denumit Coruna, vizează dispozitivele Apple care rulează versiunile iOS de la 13.0 la 17.2.1.

Acest articol a fost tradus din original. Citiți versiunea originală a corespondentului nostru aici.

Setul de instrumente include zeci de vulnerabilități, dintre care unele erau necunoscute anterior, scrie Cointelegraph. Potrivit Google, atacurile au fost observate mai întâi împotriva utilizatorilor din Ucraina, iar o schemă similară a apărut ulterior pe site-uri chinezești false legate de servicii financiare.

Explozia Coruna și site-urile criptografice false

Potrivit unui raport al Google Threat Intelligence Group (GTIG), Coruna conține cinci lanțuri complete de exploit pentru vulnerabilitățile iOS și un total de 23 de exploit-uri. Unele dintre acestea nu fuseseră cunoscute anterior de cercetătorii din domeniul securității cibernetice.

Setul de instrumente a fost descoperit pentru prima dată în februarie 2025. Atacatorii au folosit cod JavaScript care a identificat modelul dispozitivului și versiunea iOS înainte de a furniza victimei exploit-ul corespunzător.

Același mecanism a fost găsit ulterior pe site-uri ucrainene compromise. Codul malițios a fost afișat doar utilizatorilor de iPhone din anumite regiuni. În decembrie, cercetătorii GTIG au detectat aceeași schemă pe un număr mare de site-uri web chinezești false legate de servicii financiare. Unul dintre acestea imita interfața bursei de criptomonede WEEX.

După ce un utilizator încarcă pagina, sistemul verifică dispozitivul și încearcă să localizeze informații financiare. În special, acesta scanează textele care conțin fraze de semințe și cuvinte-cheie precum "frază de rezervă" sau "cont bancar". De asemenea, exploit-ul caută aplicații criptografice instalate, inclusiv MetaMask și Uniswap, pentru a obține date sensibile.

GTIG remarcă faptul că setul de instrumente de exploatare nu funcționează pe cele mai recente versiuni ale iOS. Utilizatorii de iPhone sunt sfătuiți să își actualizeze dispozitivele la cea mai recentă versiune a sistemului sau să activeze modul Lockdown, care este conceput pentru a proteja împotriva atacurilor sofisticate.

Dezbatere privind originea instrumentului

Originea lui Coruna a devenit un subiect de discuție în rândul experților în securitate cibernetică. Google nu a dezvăluit clientul din spatele dezvoltării, însă specialiștii de la firma de securitate iVerify consideră că instrumentul ar putea fi legat de entități guvernamentale.

Co-fondatorul iVerify, Rocky Cole, a declarat pentru WIRED:

"Este extrem de sofisticat, a fost nevoie de milioane de dolari pentru a-l dezvolta și poartă semnele distinctive ale altor module care au fost atribuite public guvernului SUA".

Potrivit acestuia, astfel de instrumente ar fi putut ajunge în mâinile altor grupuri:

"Acesta este primul exemplu pe care l-am văzut de instrumente foarte probabil guvernamentale americane - pe baza a ceea ce ne spune codul - scăpate de sub control și utilizate atât de adversarii noștri, cât și de grupuri de infractori cibernetici."

Cu toate acestea, nu toți experții sunt de acord cu această evaluare. Un cercetător principal în securitate de la Kaspersky a declarat pentru The Register că societatea nu a găsit nicio dovadă convingătoare de reutilizare a codului care să lege Coruna de dezvoltatorii care lucrează pentru agenții guvernamentale.

De ce acest lucru este important pentru utilizatorii de criptomonede

Cazul Coruna evidențiază modul în care dispozitivele mobile rămân un vector cheie de atac pentru infractorii care vizează active criptografice. Obiectivul principal al acestor atacuri este frazele de semințe, care permit atacatorilor să restabilească accesul la portofel și să transfere fonduri fără posibilitatea de a inversa tranzacția.

Potrivit firmei de securitate blockchain CertiK, phishing-ul și furtul de chei rămân printre cele mai frecvente amenințări cu care se confruntă investitorii în criptografie. Numai în 2025, astfel de atacuri au condus la pierderi de aproximativ 722 de milioane de dolari.

Aceste atacuri combină de obicei mai multe tehnici deodată, inclusiv exploatarea vulnerabilităților sistemului de operare, utilizarea de site-uri web false și scanarea aplicațiilor instalate. Ca urmare, actualizările periodice ale software-ului și protecțiile suplimentare, precum Lockdown Mode, rămân unele dintre cele mai eficiente măsuri de securitate pentru utilizatorii de criptomonede.

Citește și: Google Cloud își extinde aria de acoperire europeană prin parteneriatul cu Liberty Global AI

Acest material poate conține opinii ale unor terți, niciuna dintre datele și informațiile de pe această pagină web nu constituie sfaturi de investiții conform Declinării noastre de responsabilitate. Deși respectăm o Integritate Editorială strictă, această postare poate conține referințe la produse de la partenerii noștri.