Google et la société de sécurité iVerify ont révélé des détails sur Coruna, un kit d’exploitation qui exploite plusieurs vulnérabilités pour cibler les iPhones fonctionnant sous d’anciennes versions d’iOS. Voici les informations essentielles.
FONCTIONNEMENT DU KIT
Comme l’indique un article publié sur le blog de Google Cloud, Coruna utilise cinq chaînes d’exploitation iOS complètes et 23 vulnérabilités pour compromettre les iPhones non corrigés, de la version iOS 13 à la version iOS 17.2.1.
De manière très générale, le kit d’exploitation Coruna fonctionne en enchaînant plusieurs vulnérabilités pour breacher progressivement les couches de sécurité de l’iPhone.
En visitant un site malveillant qui utilise du JavaScript caché pour vérifier le modèle de l’appareil, la version du système et d’autres paramètres de sécurité, l’attaque peut emprunter plusieurs voies pour contourner les protections de base d’iOS, obtenir des privilèges élevés et installer un logiciel malveillant capable de collecter des données ou même de télécharger des modules supplémentaires.
Il est intéressant de noter que Google indique que l’exploit vérifie si le mode de verrouillage est activé et interrompt le processus dans ce cas, ou si l’utilisateur est en mode de navigation privée.
Pour être clair, ce kit d’exploitation cible les iPhones sous d’anciennes versions d’iOS et est inefficace contre les dernières versions du système. Cela souligne l’importance de maintenir ses appareils à jour.
DERRIÈRE LA FENÊTRE
Parallèlement au post de Google, iVerify a également publié un rapport sur Coruna, fournissant un contexte supplémentaire sur ses origines possibles. D’après l’analyse de la framework par iVerify, Coruna semble avoir été construit sur des fondations similaires aux outils de piratage connus du gouvernement américain.
Selon iVerify, il s’agit de la première exploitation massive observée de téléphones mobiles, y compris iOS, par un groupe criminel utilisant des outils probablement élaborés par un État-nation.
Ce à quoi ils font allusion, c’est qu’en dépit des racines apparentes de Coruna partagées avec d’autres outils de piratage liés au gouvernement américain, il semble avoir été divulgué à un moment donné et a été déployé dans des campagnes par des espions russes et des cybercriminels basés en Chine.
Les campagnes observées montrent qu’iVerify et Google ont constaté que le kit d’exploitation était distribué par le biais d’attaques de type « watering hole » sur des sites Web compromis, y compris des services de cryptomonnaie frauduleux conçus pour attirer les victimes vers des pages malveillantes.
Dans ces campagnes, le chargement final semble avoir un but financier, avec des modules conçus pour extraire les données des portefeuilles de cryptomonnaie et les phrases de récupération des appareils infectés.
Pour accéder au rapport complet d’iVerify, suivez ce lien.
