Google Threat Intelligence Group та фахівці з мобільної безпеки з компанії iVerify розкрили деталі нового набору експлойтів Coruna, який використовується для злому iPhone зі старими версіями iOS.

Coruna — це цілий набір інструментів для атак, який поєднує кілька вразливостей у ланцюжок. Загалом він використовує 23 вразливості та п’ять повноцінних ланцюжків експлойтів для різних версій iOS.

Під удари потрапляють пристрої з iOS 13 -> iOS 17.2.1, якщо вони не оновлені та не отримали відповідні патчі безпеки.

Атака починається після переходу на заражений сайт. На сторінці прихований JavaScript збирає інформацію про пристрій:

• модель iPhone
• версію системи
• деякі параметри безпеки

Після цього експлойт підбирає відповідний ланцюжок уразливостей та поступово обходить рівні захисту iOS. У результаті зловмисники можуть отримати підвищені права в системі та встановити шкідливе програмне забезпечення.

Такий софт здатний:

• збирати дані з пристрою
• завантажувати додаткові модулі
• отримувати доступ до чутливої ​​інформації
• красти гроші та криптовалюту

При цьому Coruna перевіряє, чи увімкнено режим Lockdown Mode (Режим блокування). Якщо він активний, атака припиняється. Те саме відбувається, якщо користувач перебуває у режимі приватного перегляду.

Експлойт працює лише на старих версіях системи. На актуальних версіях iOS він уже неефективний, оскільки вразливість закрита.

За даними iVerify, архітектура експлойту схожа на інструменти злому, які раніше пов’язували із державними структурами США. Дослідники вважають, що спочатку набір міг бути розроблений для урядових операцій, але пізніше стався витік.

Після цього інструмент почали використовувати різні групи, зокрема російські розвідувальні структури та кіберзлочинці з Китаю. Зараження відбувалося найчастіше через будь-які публічні сайти.

У деяких компаніях використовувалися підроблені криптовалютні сервіси, які заманювали користувачів на шкідливі сторінки.

Источник: ilenta.com