Spyware-grade Coruna iOS exploit kit now used in crypto theft attacks

2 minute de lecture

Mis à jour : March 05, 2026

Kit d’Exploits Coruna : De l’Espionnage au Vol de Cryptomonnaies

Un ensemble de 23 exploits pour iOS, baptisé “Coruna”, auparavant inconnu, est désormais utilisé par différents acteurs malveillants. Initialement déployé dans des campagnes d’espionnage ciblées par des fournisseurs de surveillance, il est maintenant employé dans des attaques à motivation financière, visant spécifiquement le vol de cryptomonnaies. Ce kit exploite des vulnérabilités sophistiquées permettant de contourner les mesures de sécurité d’iOS, y compris le mode confinement et la navigation privée.

Les chercheurs ont observé son utilisation dans des attaques de “watering hole” ciblant des utilisateurs ukrainiens, ainsi que sur de faux sites de jeux d’argent et de cryptomonnaies chinois. Le mécanisme d’infection semble inciter les victimes à utiliser leurs appareils iOS lors de la visite de ces sites compromis.

Une fois le kit déployé, il installe une charge utile nommée PlasmaGrid, qui injecte des modules dans des applications de portefeuille de cryptomonnaies populaires (MetaMask, Phantom, Exodus, BitKeep, Uniswap). Le but est de subtiliser des informations sensibles telles que les phrases de récupération de portefeuille (BIP39) et d’autres données textuelles sensibles. Les données volées sont ensuite chiffrées et exfiltrées vers des serveurs de commande et contrôle.

La transition de l’utilisation de ce kit d’un marché de la surveillance étatique à des opérations criminelles à grande échelle suggère un marché florissant pour les exploits “de seconde main”.

Points Clés :

Kit d’Exploits “Coruna” : Ensemble de 23 exploits pour iOS couvrant les versions 13.0 à 17.2.1.
Capacités Avancées : Inclut l’exécution de code à distance, le contournement de la protection d’authenticité des pointeurs (PAC), l’évasion de bac à sable, l’escalade de privilèges noyau et le contournement de la couche de protection des pages (PPL).
Double Usage : Initialement utilisé pour l’espionnage, il est maintenant exploité pour le vol de cryptomonnaies.
Charge Utile : Le malware PlasmaGrid cible les portefeuilles de cryptomonnaies et collecte des phrases de récupération et d’autres données sensibles.
Prolifération : Indique un marché actif pour les exploits, des fournisseurs de surveillance aux acteurs criminels.

Vulnérabilités (avec CVE si applicable) :

CVE-2024-23222 : Vulnérabilité WebKit permettant l’exécution de code à distance. Corrigée par Apple dans iOS 17.3.
D’autres exploits réutilisent des vulnérabilités auparavant identifiées lors de l’Opération Triangulation, exploitant des fonctionnalités matérielles non documentées.

Recommandations :

Mettre à jour les appareils iOS vers la dernière version disponible.
Activer le mode confinement (Lockdown Mode) sur les appareils si la mise à jour n’est pas possible.
Les chercheurs ont ajouté les sites web et domaines identifiés à la liste de Safe Browsing de Google.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Spyware-grade Coruna iOS exploit kit now used in crypto theft attacks

Kit d’Exploits Coruna : De l’Espionnage au Vol de Cryptomonnaies

Partager sur

Vous pourriez aimer

Windows 10 KB5075039 update fixes broken Recovery Environment

Where Multi-Factor Authentication Stops and Credential Abuse Starts

Police dismantles online gambling ring exploiting Ukrainian women

Phobos ransomware admin pleads guilty to wire fraud conspiracy