Googleは、「新しく強力な」iPhoneエクスプロイトキットを利用した暗号通貨詐欺について警告

Googleの脅威研究者たちは、Apple iPhoneユーザーを狙ってcrypto walletのシードフレーズを盗み取る新たなエクスプロイトキットを発見したと発表しました。

このキットは開発者によって“Coruna”と名付けられ、iOS 13.0から17.2.1までのバージョンで動作するiPhoneを標的にしています。Google Threat Intelligence Group（GTIG）は水曜日のレポートで「5つの完全なiOSエクスプロイトチェーンと合計23のエクスプロイト」を有し、その中には一般に知られていなかったものも含まれていると述べています。

GTIGはこのキットを2025年2月に初めて発見し、その後ウクライナのユーザーを狙うロシアのスパイグループによる利用や、cryptoを盗む目的の偽中国系cryptoサイトでの使用も追跡しました。

GTIGによれば、このキットは最新のiOSバージョンでは機能せず、iPhoneユーザーに対してデバイスを最新のソフトウエアにアップデートするよう強く推奨しています。それができない場合は、Appleが高度な攻撃に対抗できるとする「ロックダウンモード」に設定することが必要です。

偽サイトを通じてcryptoを標的に

GTIGによると、2025年2月に監視会社の顧客がデバイスを特定する目的でJavaScriptを利用し、適切なエクスプロイトを配信するiOSエクスプロイトの一部を確認しました。

その年の後半には、同じJavaScriptフレームワークが複数の侵害されたウクライナのウェブサイト上に隠されているのを発見し、「特定の地域から選ばれたiPhoneユーザーのみに配信」されていたことが判明しました。

GTIGはさらに12月、「主に金融関連の多数の偽中国サイト」で同じフレームワークを発見したと述べています。その中にはcrypto取引所WEEXを模倣したサイトも含まれていました。

ユーザーがiOSデバイスでそのウェブサイトにアクセスすると、フレームワークがエクスプロイトキットを配信し、シードフレーズや「バックアップフレーズ」や「銀行口座」などのキーワードが含まれるテキストを分析することで財務情報を探索します。

関連：‘ClickFix’ハッカーがVCを装い、QuickLensを乗っ取る最新のcrypto攻撃

このキットはまた、UniswapやMetaMaskなどの人気cryptoアプリを探し出し、crypto資産や機密情報の抽出を試みます。

Corunaの米国諜報起源に対する議論

GTIGはエクスプロイトキットが起源とされる監視会社の顧客を名指ししていませんが、モバイルセキュリティ企業iVerifyはWIREDに対し、「米国政府によって開発または購入された可能性がある」と伝えました。

「非常に高度で、開発には数百万ドルが投入されており、米国政府に公的に関連付けられた他のモジュールと同じ特徴が見られる」とiVerifyの共同創設者Rocky Cole氏はWIREDに述べています。

「コードから判断する限り、米国政府によるツールが敵対者やサイバー犯罪グループにも利用されている初めての事例です。」

しかし、Kasperskyの主任セキュリティ研究者はThe Registerに対し、「Corunaを同じ著作者に帰属させるような実際のコード再利用の証拠は公開レポートには見られない」と答えています。

雑誌：警察よりも犯罪を解決するonchain cryptoプロファイラーに会いましょう