Il kit, denominato “Coruna”, prende di mira iPhone con iOS da 13.0 a 17.2.1 e cerca seed phrase e app come MetaMask e Uniswap.
I ricercatori del Google Threat Intelligence Group (GTIG) hanno individuato un nuovo exploit kit che prende di mira gli utenti iPhone con l’obiettivo di sottrarre seed phrase di wallet e altri dati finanziari. La scoperta è stata resa pubblica in un report pubblicato il 3 marzo.
Il kit, battezzato “Coruna” dai suoi sviluppatori, colpisce i dispositivi iPhone con versioni iOS da 13.0 fino alla 17.2.1. Secondo il GTIG, Coruna dispone di “cinque catene di exploit complete per iOS e un totale di 23 exploit”, inclusi alcuni precedentemente sconosciuti. Il gruppo di Google ha individuato il kit per la prima volta nel febbraio 2025 e ne ha poi tracciato l’utilizzo da parte di un sospetto gruppo di spionaggio russo contro utenti ucraini, per poi ritrovarlo in seguito su falsi siti web cinesi.
Il GTIG ha ricostruito la catena di eventi: a febbraio 2025 ha rilevato parti dell’exploit iOS all’interno di un sistema in cui il cliente di una società di sorveglianza usava JavaScript per profilare i dispositivi e fornire l’exploit corretto. Successivamente, lo stesso framework JavaScript è stato trovato nascosto su più siti web ucraini compromessi, dove veniva “consegnato solo a specifici utenti iPhone provenienti da una determinata geolocalizzazione”. A dicembre dello stesso anno, il framework è stato individuato su “un insieme molto ampio di siti web cinesi falsi, per la maggior parte legati alla finanza”, tra cui uno che imitava l’exchange WEEX.
Quando un utente accede a tali siti con un dispositivo iOS, il framework attiva il kit, che va alla ricerca di informazioni finanziarie analizzando testi contenenti seed phrase e parole chiave come “backup phrase” o “bank account”. Il kit individua anche app crypto popolari, tra cui Uniswap e MetaMask, per estrarne fondi o dati sensibili.
Il GTIG ha precisato che il kit non funziona con le versioni più recenti di iOS e ha esortato tutti gli utenti iPhone ad aggiornare i propri dispositivi all’ultima versione del sistema operativo disponibile. Per chi non fosse in grado di effettuare l’aggiornamento, il consiglio è di attivare la modalità “Lockdown Mode”, che Apple indica come misura efficace contro attacchi sofisticati.
