Die Threat Intelligence Group (GTIG) von Google warnt davor, dass ein „neues und leistungsstarkes“ iOS-Exploit-Kit, das von seinen Entwicklern „Coruna“ genannt wird, auf gefälschten Finanz- und Krypto-Websites eingesetzt wurde, um iPhone-Benutzer dazu zu locken, Seiten zu besuchen, die stillschweigend Exploits ausliefern können. Für Krypto-Inhaber ist das Risiko offensichtlich: GTIGs Analyse zeigt Die Kampagnen konzentrierten sich letztendlich auf die Erfassung von Startphrasen und Wallet-Daten aus beliebten mobilen Apps.
Coruna zielt auf Apple-Geräte mit iOS 13.0 bis iOS 17.2.1 ab und bündelt fünf vollständige Exploit-Ketten und 23 Exploits. GTIG gab an, das Kit wiedererlangt zu haben, nachdem es seine Entwicklung im Laufe des Jahres 2025 verfolgt hatte, von der frühen Nutzung durch einen Kunden eines kommerziellen Überwachungsunternehmens über „Watering-Hole“-Angriffe auf kompromittierte ukrainische Websites bis hin zur groß angelegten Verbreitung über die chinesische Sprache Betrugsseiten Es ist an einen finanziell motivierten Schauspieler gebunden und wird als UNC6691 geführt.
Ein Krypto-Köder für iPhones
In der Phase der Betrugswelle beobachtete GTIG nach eigenen Angaben, dass das JavaScript-Framework hinter Coruna auf einer „sehr großen Anzahl“ gefälschter chinesischer Websites eingesetzt wurde, die sich hauptsächlich mit dem Thema Finanzen befassten. Ein von GTIG angeführtes Beispiel ist eine gefälschte Krypto-Austauschseite unter der Marke WEEX, die versuchte, Besucher auf ein iOS-Gerät zu leiten – woraufhin ein versteckter iFrame eingefügt wurde, um das Exploit-Kit „unabhängig von ihrem geografischen Standort“ bereitzustellen.
Verwandte Lektüre
Die Übermittlungsmechanismen sind wichtig, weil sie die Grenze zwischen traditionellem Phishing und völliger Gerätekompromittierung verwischen: Nach Angaben von GTIG reichte es aus, von einem anfälligen iPhone aus einfach auf die mit einer Sprengfalle versehene Seite zu gelangen, um die Kette zu starten. Das Framework erfasst einen Fingerabdruck des Geräts, um das Modell und die iOS-Version zu identifizieren, und lädt dann den entsprechenden WebKit-Exploit für die Remotecodeausführung und eine Umgehung der Zeigerauthentifizierung (PAC).
GTIG ordnete einen wiederhergestellten WebKit-RCE CVE-2024-23222 zu und stellte fest, dass das Problem von Apple in iOS 17.3 am 22. Januar 2024 behoben wurde.
Am Ende der Kette lässt Coruna laut GTIG einen Stager fallen, den es PlasmaLoader nennt (verfolgt als PLASMAGRID), und beschreibt, dass dieser sich weniger auf klassische Überwachungsfunktionen als vielmehr auf den Diebstahl von Finanzinformationen konzentriert. Laut GTIG kann die Nutzlast QR-Codes aus auf dem Gerät gespeicherten Bildern dekodieren und Textblobs nach BIP39-Wortsequenzen sowie Schlüsselwörtern wie „Backup-Phrase“ und „Bankkonto“ scannen, auch in Apple Memos, die sie dann herausfiltern kann.
Verwandte Lektüre
Auch die Nutzlast ist modular aufgebaut. GTIG sagt, dass es zusätzliche Module aus der Ferne herunterziehen und ausführen kann und dass viele der identifizierten Module darauf ausgelegt sind, Funktionen einzubinden und vertrauliche Informationen aus gängigen Krypto-Wallet-Apps zu extrahieren – darunter auch MetaMaskTrust Wallet, Uniswaps Wallet, Phantom, Exodus und TON-Ökosystem-Wallets wie Tonkeeper.
Der breitere Bogen wurde auch von der mobilen Sicherheitsfirma iVerify hervorgehoben, die ihre eigenen Ergebnisse etwa zur gleichen Zeit wie den GTIG-Bericht veröffentlichte. „Und genau das ist auch hier wieder passiert, allerdings auf Mobilgeräten. Telefon-OEMs leisten so gute Arbeit, wie nur irgendjemand sonst tun kann …“
Was Krypto-Benutzer jetzt tun können
Google sagt, dass Coruna „gegen die neueste Version von iOS nicht wirksam ist“ und fordert Benutzer dringend auf, ein Update durchzuführen. Wenn eine Aktualisierung nicht möglich ist, empfiehlt GTIG, den Sperrmodus von Apple zu aktivieren. GTIG gibt außerdem an, die identifizierten Websites und Domains zu Google Safe Browsing hinzugefügt zu haben, um die weitere Gefährdung zu verringern.
Für krypto-native Benutzer ist die unmittelbare Erkenntnis praktisch: Mobile Wallets befinden sich an der Schnittstelle zwischen hochwertigen Vermögenswerten und hochfrequentem Webverkehr, was „Visit-to-Compromise“-Kampagnen besonders gefährlich macht. Aus den Berichten von GTIG geht hervor, dass es bei dem Betrugstrichter nicht nur darum ging, die Opfer dazu zu bringen, Wallets zu verbinden, sondern auch darum, sie auf das richtige Gerät mit der richtigen iOS-Version zu bringen, sodass die Ausnutzung den Rest erledigen konnte.
Zum Zeitpunkt der Drucklegung belief sich die gesamte Krypto-Marktkapitalisierung auf 2,45 Billionen US-Dollar.
Ausgewähltes Bild erstellt mit DALL.E, Diagramm von TradingView.com
