محققان امنیتی گوگل از شناسایی یک کیت اکسپلویت جدید برای آیفون خبر داده‌اند که در حملات فیشینگ کریپتو مورد استفاده قرار می‌گیرد و می‌تواند عبارات بازیابی کیف‌پول‌های رمزارزی و اطلاعات مالی کاربران را سرقت کند.

ابزار «Coruna»؛ مجموعه‌ای از ۲۳ اکسپلویت برای iOS

گروه اطلاعات تهدید گوگل (GTIG) در گزارشی اعلام کرد این کیت که توسط توسعه‌دهندگان با نام Coruna شناخته می‌شود، آیفون‌هایی با نسخه‌های iOS از 13.0 تا 17.2.1 را هدف قرار می‌دهد.

طبق این گزارش:

در این رابطه بخوانید‌ : کامل‌ترین بررسی پلتفرم بنجی بانانا و توکن بنجی

• این کیت شامل ۵ زنجیره کامل اکسپلویت iOS است.
• در مجموع ۲۳ آسیب‌پذیری مختلف در آن وجود دارد.
• برخی از این آسیب‌پذیری‌ها پیش از این به‌صورت عمومی شناخته نشده بودند.

محققان گوگل اعلام کردند اولین بار در فوریه ۲۰۲۵ این کیت را شناسایی کرده‌اند.

استفاده در حملات جاسوسی و فیشینگ کریپتو

بر اساس بررسی‌های GTIG، این ابزار ابتدا توسط یک گروه جاسوسی مشکوک روسی برای هدف قرار دادن کاربران اوکراینی استفاده شده است.

در ادامه، همین فناوری در وب‌سایت‌های جعلی چینی مرتبط با حوزه مالی و رمزارز نیز مشاهده شد که هدف آن‌ها سرقت دارایی‌های کریپتویی کاربران بود.

نحوه حمله: وب‌سایت‌های جعلی کریپتو

طبق گزارش گوگل، مهاجمان از طریق وب‌سایت‌های جعلی کاربران آیفون را هدف قرار می‌دهند.

فرآیند حمله به این شکل است:

1. کاربر وارد یک وب‌سایت جعلی مرتبط با کریپتو یا خدمات مالی می‌شود.
2. یک اسکریپت JavaScript دستگاه کاربر را شناسایی می‌کند.
3. در صورت تشخیص آیفون آسیب‌پذیر، کیت اکسپلویت Coruna اجرا می‌شود.
4. ابزار شروع به جست‌وجوی اطلاعات مالی و رمزارزی در دستگاه می‌کند.

این کیت می‌تواند پیام‌هایی که شامل عباراتی مانند موارد زیر هستند را بررسی کند:

• Seed phrase
• Backup phrase
• Bank account

هدف قرار دادن اپلیکیشن‌های محبوب کریپتو

محققان اعلام کردند این ابزار همچنین به دنبال اپلیکیشن‌های معروف ارز دیجیتال می‌گردد، از جمله:

• MetaMask
• Uniswap

در صورت شناسایی این اپ‌ها، تلاش می‌کند اطلاعات حساس یا دارایی‌های کریپتویی را استخراج کند.

در یکی از نمونه‌ها، وب‌سایتی جعلی نسخه‌ای تقلبی از صرافی کریپتویی WEEX را شبیه‌سازی کرده بود.

توصیه گوگل به کاربران آیفون

گروه امنیتی گوگل تأکید کرده که این ابزار روی جدیدترین نسخه iOS کار نمی‌کند.

همچنین بخوانید : آوالانچ چیست؟ و چه ویژگی هایی دارد؟

به همین دلیل به کاربران توصیه شده است:

• آیفون خود را به آخرین نسخه iOS به‌روزرسانی کنند.
• در صورت عدم امکان به‌روزرسانی، از Lockdown Mode استفاده کنند.

حالت Lockdown که توسط اپل معرفی شده، برای مقابله با حملات پیچیده سایبری و جاسوسی دیجیتال طراحی شده است.

منشأ احتمالی ابزار؛ بحث درباره ارتباط با دولت آمریکا

GTIG نام مشتری شرکت نظارتی که این ابزار از آن منشأ گرفته را اعلام نکرد.

اما شرکت امنیت موبایل iVerify در گفت‌وگو با WIRED احتمال داده است که این ابزار توسط دولت آمریکا ساخته یا خریداری شده باشد.

«راکی کول»، هم‌بنیان‌گذار iVerify، گفت:

«این ابزار بسیار پیشرفته است و توسعه آن میلیون‌ها دلار هزینه داشته است. همچنین شباهت‌هایی با ماژول‌هایی دارد که پیش‌تر به دولت آمریکا نسبت داده شده‌اند.»

او افزود:

«این اولین نمونه‌ای است که می‌بینیم ابزارهایی که احتمالاً متعلق به دولت آمریکا هستند، از کنترل خارج شده و توسط دشمنان یا گروه‌های مجرم سایبری استفاده می‌شوند.»

اختلاف نظر میان شرکت‌های امنیتی

با این حال، یک پژوهشگر ارشد امنیتی در شرکت Kaspersky در گفت‌وگو با The Register اعلام کرد:

«هیچ مدرکی از استفاده مجدد از کد در گزارش‌های منتشر شده وجود ندارد که بتوان Coruna را به همان توسعه‌دهندگان نسبت داد.»

جمع‌بندی

کشف کیت اکسپلویت Coruna نشان می‌دهد حملات فیشینگ کریپتو به‌طور فزاینده‌ای پیچیده‌تر شده‌اند و حتی کاربران آیفون نیز در برابر این تهدیدها مصون نیستند.

به‌روزرسانی سیستم‌عامل، استفاده از حالت‌های امنیتی پیشرفته و اجتناب از ورود به وب‌سایت‌های مشکوک می‌تواند نقش مهمی در حفاظت از دارایی‌های دیجیتال و اطلاعات مالی کاربران ایفا کند.

ترجمه شده توسط مجله خبری نیپوتو