- Что случилось: Google и iVerify обнаружили эксплойт-кит Coruna, который использует 23 уязвимости для взлома iPhone со старыми версиями iOS
- Чего ждать: пользователям со старыми версиями iOS стоит обновить систему, поскольку эксплойт не работает на актуальных версиях
- Нюанс: исследователи считают, что Coruna может быть основан на инструментах взлома, ранее связанных с правительственными структурами США
Google Threat Intelligence Group и специалисты по мобильной безопасности из компании iVerify раскрыли детали нового набора эксплойтов Coruna, который используется для взлома iPhone со старыми версиями iOS.
Coruna — это целый набор инструментов для атак, который объединяет несколько уязвимостей в цепочку. В общей сложности он использует 23 уязвимости и пять полноценных цепочек эксплойтов для разных версий iOS.
Под удар попадают устройства с iOS 13 —> iOS 17.2.1, если они не обновлены и не получили соответствующие патчи безопасности.
Атака начинается после перехода пользователя на заражённый сайт. На странице скрытый JavaScript собирает информацию об устройстве:
- модель iPhone
- версию системы
- некоторые параметры безопасности
После этого эксплойт подбирает подходящую цепочку уязвимостей и постепенно обходит уровни защиты iOS. В итоге злоумышленники могут получить повышенные права в системе и установить вредоносное ПО.
Такой софт способен:
- собирать данные с устройства
- скачивать дополнительные модули
- получать доступ к чувствительной информации
- воровать деньги и криптовалюту
При этом Coruna проверяет, включён ли режим Lockdown Mode (Режим блокировки). Если он активен, атака прекращается. То же происходит, если пользователь находится в режиме приватного просмотра.
Эксплойт работает только на старых версиях системы. На актуальных версиях iOS он уже неэффективен, поскольку уязвимости закрыты.
По их данным iVerify, архитектура эксплойта похожа на инструменты взлома, которые ранее связывали с государственными структурами США. Исследователи считают, что изначально набор мог быть разработан для правительственных операций, но позже произошла утечка.
После этого инструмент начали использовать разные группы, в том числе российские разведывательные структуры и киберпреступники из Китая. Заражение происходило чаще всего через какие-либо публичные сайты.
В некоторых кампаниях использовались поддельные криптовалютные сервисы, которые заманивали пользователей на вредоносные страницы. [9to5]
3 комментария