Googleの脅威情報グループ(GTIG)は、開発者がCorunaと呼ばれる「新しく強力な」iOSエクスプロイトキットが、iPhoneユーザーに自動的にエクスプロイトを提供できるページにアクセスするように設計された偽の金融および暗号通貨ウェブサイトに配布されたと警告しました。暗号通貨の保有者の場合、危険は無理です。 GTIGの分析によると、キャンペーンは最終的に人気のあるモバイルアプリからシードフレーズと財布データを収集することに焦点を当てています。
CorunaはiOS 13.0からiOS 17.2.1まで実行されるAppleデバイスを対象としており、5つのフルエクスプロイトチェーンと23のエクスプロイトをバンドルしています。 GTIGは、商業監視会社の顧客の最初の使用から破損したウクライナのウェブサイトへの「ウォーターリングホール」攻撃、そして最後にUNC6691で追跡される財政的動機を持つ攻撃者に関連付けられた中国の詐欺サイトを通じた広範な展開まで、2025年にわたってキットの進化を追跡した後、このキットを回復したと明らかにしました。
iPhone用に設計された暗号通貨餌
詐欺段階で、GTIGは主に金融をテーマにした偽の中国のウェブサイトの「非常に大きなセット」に配布されたCorunaの背後にあるJavaScriptフレームワークを観察したと述べた。 GTIGが引用した1つの例は、訪問者をiOSデバイスに誘導しようとした偽のWEEXブランドの暗号通貨交換ページです。その後、隠されたiFrameが注入され、「地理的位置に関係なく」エクスプロイトキットを配信します。
関連読書
伝達メカニズムは、伝統的なフィッシングと露骨なデバイス損傷の間の境界をあいまいにするため、重要です。 GTIGの言葉によると、脆弱なiPhoneでブービートラップページに到着するだけでチェーンを始めるのに十分でした。フレームワークはデバイスの指紋を採取してモデルとiOSバージョンを識別し、適切なWebKitリモートコード実行エクスプロイトとポインタ認証(PAC)バイパスをロードします。
GTIGは回復した1つのWebKit RCEをCVE-2024-23222に結び付け、Appleは2024年1月22日にiOS 17.3でこの問題を解決したと述べました。
GTIGは、チェーンの終わりに、CorunaがPlasmaLoader(PLASMAGRIDで追跡)と呼ぶステージを削除し、既存の監視機能よりも金融情報の盗難に重点を置いていると説明しています。 GTIGによると、ペイロードはデバイスに保存された画像からQRコードをデコードし、BIP39単語シーケンスのテキストの塊をスキャンし、Appleのメモを含む「バックアップフレーズ」や「銀行口座」などのキーワードを抽出できます。
関連読書
ペイロードもモジュラーです。 GTIGは追加のモジュールをリモートでプルダウンして実行することができ、識別されたモジュールの多くは、MetaMask、Trust Wallet、Uniswapの財布、Phantom、Exodus、TonkeeperなどのTONエコシステム財布など、一般的な暗号通貨財布アプリから機能を接続し、機密情報を漏洩するように設計されていると述べた。
GTIGの報告書とほぼ同じ時期に、独自の調査結果を発表したモバイルセキュリティ会社であるiVerifyも、より広い範囲の円弧を表示しました。 「そしてこれがまさにここでまた起こったことですが、モバイルデバイスでは。電話OEMは誰でもできるだけ仕事をうまくやっています…」
暗号通貨ユーザーが今できること
Googleはコルナが「最新バージョンのiOSには効果的ではない」とユーザーにアップデートを促している。アップデートができない場合、GTIGはAppleのロックモードを有効にすることをお勧めします。 GTIGはまた、追加のインプレッションを減らすために確認されたウェブサイトとドメインをGoogleセーフブラウジングに追加したと述べました。
暗号通貨ユーザーの場合、即時措置は実用的です。モバイルウォレットは、高価値資産と頻度の高いWebトラフィックの交差点に位置するため、「妥協訪問」キャンペーンは非常に危険になります。 GTIGの報告によると、詐欺の流入経路は、被害者が財布を接続するように誘導するのではなく、正しいiOSバージョンの正しいデバイスに接続して攻撃を通じて残りの作業を実行できるようにすることでした。
報道当時の総暗号通貨時価総額は2兆4500億ドルに達しました。
総暗号通貨時価総額は0.786 Fib、1週間チャートに直面しています。ソース:TradingView.comのTOTAL
DALL.Eで作成された特集画像、TradingView.comのチャート
