جوجل تحذر من عمليات احتيال بالعملات الرقمية تستخدم حزمة اختراق آيفون "جديدة وقوية"

قال باحثو التهديدات في Google إنهم كشفوا عن مجموعة أدوات استغلال جديدة تستهدف مستخدمي هواتف Apple iPhone بهدف سرقة عبارات استرداد محافظ العملات المشفرة.

مجموعة الأدوات، التي أُطلق عليها اسم “Coruna” من قبل مطوريها، تستهدف هواتف iPhone التي تعمل بنسخ iOS من 13.0 حتى 17.2.1. وتحتوي على "خمس سلاسل استغلال كاملة لنظام iOS وما مجموعه 23 ثغرة"، بما في ذلك بعضها لم تكن معروفة سابقاً للجمهور، وفق تقرير مجموعة استخبارات التهديدات في Google (GTIG) يوم الأربعاء.

ذكرت المجموعة أنها اكتشفت مجموعة الأدوات أول مرة في فبراير 2025 وتابعت استخدامها من قبل مجموعة تجسس روسية مشتبه بها ضد الأوكرانيين، ولاحقاً عبر مواقع عملات مشفرة صينية مزيفة تهدف لسرقة العملات المشفرة.

قالت GTIG إن مجموعة الأدوات لا تعمل مع أحدث إصدار من iOS ونصحت مستخدمي هواتف iPhone بتحديث أجهزتهم إلى أحدث إصدار من البرمجيات. وإذا لم يكن ذلك ممكناً، يجب عليهم تفعيل وضع “Lockdown Mode”، والذي تقول Apple إنه يمكن أن يواجه الهجمات المتقدمة.

مجموعة الأدوات تستهدف العملات المشفرة عبر مواقع مزيفة

قالت GTIG إنها واجهت أجزاء من استغلال لنظام iOS في فبراير 2025 حيث استخدم عميل لشركة مراقبة جافاسكريبت لتحديد بيانات الجهاز بهدف تقديم الاستغلال المناسب.

لاحقاً في نفس العام، وجدت نفس إطار عمل جافاسكريبت مخبأً في عدة مواقع أوكرانية مخترقة ولم يُرسل إلا لمستخدمي هواتف iPhone محددين من منطقة جغرافية معينة فقط.

قالت GTIG إنها وجدت نفس إطار العمل في ديسمبر "على مجموعة كبيرة جداً من المواقع الصينية المزيفة معظمها مرتبط بالمالية"، بما في ذلك موقعاً انتحل هوية منصة العملات المشفرة WEEX.

عندما يصل المستخدم إلى تلك المواقع باستخدام جهاز iOS، يقوم الإطار البرمجي بتوصيل مجموعة الأدوات ويبحث عن معلومات مالية، بما في ذلك تحليل النصوص التي تحتوي على عبارات الاسترداد والكلمات المفتاحية مثل “backup phrase” أو “bank account”.

ذو صلة: قراصنة 'ClickFix' يتظاهرون بأنهم مستثمرون خطرون ويستحوذون على QuickLens في أحدث هجمات العملات المشفرة

تبحث مجموعة الأدوات أيضاً عن تطبيقات العملات المشفرة الشهيرة مثل Uniswap وMetaMask لاستخراج العملات المشفرة أو المعلومات الحساسة.

أصول Coruna من الاستخبارات الأمريكية محل جدل

لم تسمِ GTIG العميل الذي يُقال إن مجموعة الأدوات نشأت منه، لكن شركة أمن الأجهزة المحمولة iVerify أخبرت WIRED أنها ربما تم تطويرها أو شراؤها من قبل الحكومة الأمريكية.

"إنها متطورة للغاية، استغرق تطويرها ملايين الدولارات، وتحمل سمات وحدات أخرى نُسبت علناً للحكومة الأمريكية"، حسبما قال Rocky Cole الشريك المؤسس لشركة iVerify لمجلة WIRED.

"هذا هو أول مثال نراه لأدوات حكومية أمريكية على الأغلب — بناءً على ما يخبرنا به الكود — خرجت عن السيطرة وأصبحت تُستخدم من قبل خصومنا ومجموعات الجرائم الإلكترونية."

لكن باحث الأمن الرئيسي في Kaspersky قال لـ The Register إن الشركة لم ترَ "أي دليل على إعادة استخدام فعلي للكود في التقارير المنشورة يدعم نسبة أصل Coruna لنفس المؤلفين."

المجلة: تعرف على محققي العملات المشفرة على السلسلة الذين يحاربون الجريمة بشكل أفضل من الشرطة