Spyware-grade Coruna iOS exploit kit now used in crypto theft attacks

Le kit d’exploitation Coruna : une menace évolutive pour les utilisateurs d’iPhone

Un ensemble d’exploits pour iOS, nommé “Coruna”, composé de 23 vulnérabilités, est désormais utilisé par des acteurs malveillants dans des campagnes d’espionnage ciblées et des attaques visant le vol de cryptomonnaies. Ce kit, dont la complexité est jugée “spyware-grade”, exploite des techniques non publiques et des contournements de mesures de sécurité pour cibler les versions d’iOS 13.0 à 17.2.1.

Initialement observé en lien avec un fournisseur de services de surveillance, Coruna a ensuite été déployé par des cyberespions russes dans des attaques de type “watering hole” visant des sites web ukrainiens. Plus récemment, il a été repéré sur de faux sites de jeux d’argent et de cryptomonnaies chinois, attribué à un groupe motivé par des gains financiers.

Après avoir obtenu le kit complet, des chercheurs ont révélé qu’il comprenait cinq chaînes d’exploitation capables de :

• Exécution de code à distance via WebKit.
• Contournement de la Pointer Authentication Code (PAC).
• Évasion de la “sandbox”.
• Escalade de privilèges noyau.
• Contournement de la Page Protection Layer (PPL).

Certains de ces exploits réutilisent des vulnérabilités découvertes lors de l’opération “Triangulation” et exploitent même des fonctionnalités matérielles non documentées des appareils Apple. Le kit identifie l’appareil et sa version d’iOS pour sélectionner la chaîne d’exploitation appropriée, mais s’arrête si le mode “Verrouillage” ou la navigation privée est activé.

Le payload final de Coruna est un chargeur injecté dans un démon système, baptisé “PlasmaGrid”. Ce malware, bien que ne présentant pas de capacités de spyware classiques, télécharge des modules visant spécifiquement des applications de portefeuille de cryptomonnaies. Il cherche à voler des phrases de récupération de portefeuille (BIP39), des informations sensibles comme “phrase de sauvegarde” ou “compte bancaire”, ainsi que des données stockées dans les Mémos d’Apple. Les données exfiltrées sont chiffrées et envoyées à des serveurs de commande et contrôle. Le kit intègre également un algorithme de génération de noms de domaine (DGA) pour assurer la résilience de son infrastructure.

La migration de ce kit d’exploitation, initialement utilisé pour des campagnes d’espionnage sophistiquées, vers des opérations criminelles à grande échelle visant le vol de cryptomonnaies, souligne un marché actif pour les “exploits zero-day” de seconde main. Les capacités autrefois réservées aux acteurs étatiques ou aux clients de fournisseurs de surveillance commerciale sont désormais accessibles et déployées contre des utilisateurs d’iPhone ordinaires.

Points clés :

• Kit d’exploitation Coruna : Ensemble de 23 exploits pour iOS, utilisé pour l’espionnage et le vol de cryptomonnaies.
• Acteurs : Fournisseurs de surveillance, cyberespions russes (UNC6353), groupe chinois motivé financièrement (UNC6691).
• Fonctionnalités : Exécution de code à distance, contournements de sécurité avancés, escalade de privilèges.
• Payload : “PlasmaGrid” vole des informations de portefeuille de cryptomonnaies.
• Évolution : Migration des capacités de surveillance vers des opérations criminelles.

Vulnérabilités exploitées :

• CVE-2024-23222 : Vulnérabilité WebKit permettant l’exécution de code à distance sur iOS 17.2.1. Corrigée dans iOS 17.3.
• D’autres vulnérabilités inconnues du public, exploitant des techniques non documentées et des contournements de protections comme PAC et PPL.

Recommandations :

• Mettre à jour iOS : Installer la dernière version du système d’exploitation pour bénéficier des correctifs de sécurité.
• Activer le mode Verrouillage : Cette fonctionnalité offre une protection renforcée contre les logiciels espions.
• Être vigilant : Méfiance envers les sites web suspects, particulièrement ceux liés aux jeux d’argent et aux cryptomonnaies.

Source