Μια νέα έρευνα από την ομάδα Threat Intelligence Group της Google (GTIG) φέρνει στο φως τη δράση ενός εξαιρετικά εξελιγμένου πακέτου επιθέσεων με την ονομασία “Coruna”. Το συγκεκριμένο exploit kit, το οποίο αναλύθηκε από την αρχισυντάκτρια του Help Net Security, Zeljka Zorz, περιλαμβάνει πέντε πλήρεις αλυσίδες επιθέσεων και συνολικά 23 exploits που στοχεύουν το λειτουργικό σύστημα της Apple.
Το ανησυχητικό με το “Coruna” είναι η ευρεία διάδοσή του. Ενώ αρχικά χρησιμοποιήθηκε για εμπορικούς σκοπούς παρακολούθησης, σύντομα πέρασε στα χέρια κρατικών υπηρεσιών κατασκοπείας —με αναφορές για ρωσικές ομάδες που στόχευσαν ουκρανικούς ιστότοπους— και κατέληξε σε κοινούς εγκληματίες του κυβερνοχώρου που στοχεύουν σε οικονομική απάτη μέσω ψεύτικων ιστοσελίδων τζόγου και κρυπτονομισμάτων.
Η τεχνική ανάλυση και οι ευπάθειες που χρησιμοποιεί
Οι αναλυτές της Google ανακάλυψαν το όνομα του kit χάρη σε μια έκδοση debug που διέρρευσε κατά λάθος από τους ίδιους τους επιτιθέμενους. Σύμφωνα με την έρευνα, το “Coruna” εκμεταλλεύεται γνωστές αλλά και άγνωστες ευπάθειες στη μηχανή WebKit, επιτρέποντας την απομακρυσμένη εκτέλεση κώδικα και την “απόδραση” από το sandbox των εφαρμογών.
Μεταξύ των κενών ασφαλείας που χρησιμοποιούνται είναι τα:
- CVE-2024-23222: Μια ευπάθεια WebKit που χρησιμοποιήθηκε ως zero-day στις αρχές του 2024.
- CVE-2023-38606 & CVE-2023-32434: Γνωστά από την “Επιχείρηση Τριγωνοποίηση” (Operation Triangulation) που είχε αποκαλύψει παλαιότερα η Kaspersky.
- CVE-2023-32409: Ένα κρίσιμο κενό στο Safari που επιτρέπει την παραβίαση της ιδιωτικότητας του χρήστη.
Ποιες συσκευές κινδυνεύουν και πώς να προστατευτείτε
Το “Coruna” μπορεί να προσβάλει με επιτυχία iPhone που τρέχουν εκδόσεις από το iOS 13.0 έως και το iOS 17.2.1. Αυτό σημαίνει ότι εκατομμύρια χρήστες που δεν έχουν αναβαθμίσει τις συσκευές τους τα τελευταία δύο χρόνια παραμένουν εκτεθειμένοι. Οι επιτιθέμενοι χρησιμοποιούν ένα κακόβουλο λογισμικό (stager binary) που μπορεί να “διαβάζει” QR codes από την οθόνη, να αναζητά λέξεις-κλειδιά όπως “backup phrase” ή “bank account” και να κλέβει κρυπτοπορτοφόλια όπως το Metamask και το BitKeep.
Η Google και η Apple συμβουλεύουν τους χρήστες να αναβαθμίσουν άμεσα στην τελευταία έκδοση του iOS 26.3. Για όσους δεν μπορούν να αναβαθμίσουν τη συσκευή τους, η ενεργοποίηση του Lockdown Mode ή η χρήση ιδιωτικής περιήγησης μπορεί να αποτρέψει την εκτέλεση του “Coruna”, καθώς το kit πραγματοποιεί ελέγχους και αυτοκαταστρέφεται αν εντοπίσει τέτοιου είδους αμυντικές ρυθμίσεις.
