اكتشفت جوجل مجموعة أدوات اختراق تُدعى كورونا تخترق بهدوء أجهزة آيفون وتسرق العملات الرقمية عن طريق استهداف تطبيقات المحافظ الشهيرة مثل ميتاماسك، فانتوم، وTrust Wallet.
يتطلب الهجوم فقط زيارة موقع ويب مخادع أو موقع مخترق على آيفون غير محدث لكي تبدأ العدوى دون الحاجة لأي إجراء من الضحية.
ممول
ممول
لماذا الأمر مهم:
- تظل أجهزة آيفون التي تعمل بنظام iOS 17,2,1 أو أقدم معرضة للخطر، حيث أصدرت آبل تصحيحًا نهائيًا لاستغلال الثغرة فقط في iOS 17,3 الذي صدر في يناير 2024.
- تفحص مجموعة الأدوات الملاحظات والرسائل بحثًا عن عبارات حفظ عملات رقمية وكلمات مفتاحية مثل "backup phrase"، مما يمنح المهاجمين وصولًا كاملًا للمحفظة دون الحاجة إلى كلمة مرور.
- تستهدف 18 تطبيق عملات رقمية، وهذا يعني أن مستخدمي ميتاماسك، فانتوم، Exodus، Trust Wallet، وUniswap معرضون لخطر السرقة المباشرة.
التفاصيل:
- قالت GTIG إنها استعادت مجموعة الأدوات الكاملة من مئات المواقع المالية المزيفة ومواقع تبادل العملات الرقمية، بما في ذلك موقع WEEX مزور لتبادل العملات الرقمية.
- استخدمت مجموعة تجسس روسية مشبوهة نفس مجموعة الأدوات في صيف 2025 لاستهداف مستخدمي آيفون في أوكرانيا عبر مواقع أعمال محلية مخترقة.
- نشر لاحقًا فريق صيني يهدف للربح المالي المجموعة على نطاق واسع عبر مواقع احتيالية، ما مكن جوجل من استرجاع كامل المجموعة وتسميتها كورونا.
- فعّل وضع Lockdown من إعدادات الآيفون لتعطيل الهجوم كليًا — حيث تكتشف المجموعة هذا الوضع وتتوقف عن العمل.
الصورة الكاملة:
- انتقلت نفس مجموعة الأدوات من خلال شركة مراقبة، مجموعة روسية مدعومة من الدولة، ومجرمين ماليين صينيين، ما يشير إلى سوق ثانوي متنامٍ للأدوات القوية للاختراق.
- استُخدمت اثنتان من ثغرات كورونا مسبقًا في عملية Triangulation، وهي حملة تجسس على iOS في 2023 كشفتها كاسبرسكي، مما يظهر كيف يُعاد استخدام الثغرات المتطورة بين جهات التهديد المختلفة.
