Các tổ chức tội phạm đã bắt đầu nhắm mục tiêu vào người dùng tiền điện tử trên các thiết bị iOS bằng cách sử dụng Coruna, một công cụ hack được coi là cấp quân sự. Trước đây, phần mềm này đã được một tác nhân quốc gia Nga được xác định là UNC6353 sử dụng để thực hiện các cuộc tấn công watering-hole chống lại Ukraine. Theo phân tích mới nhất về các mẫu và hạ tầng, chuỗi công cụ này đã vượt ra ngoài phạm vi ban đầu và hiện đang được các tác nhân độc hại sử dụng để rút cạn tài sản ví crypto.
Hoạt động của bộ khai thác này rất tinh vi. Nó bắt đầu bằng cách xác định dấu vân tay của một thiết bị mục tiêu để xác định phiên bản iOS đã được cài đặt, sau đó nó tự động chọn một chuỗi khai thác WebKit phù hợp. Các tiêu chí để kích hoạt cuộc tấn công rất tối thiểu, chỉ cần một chuyến thăm vào một trang web độc hại.
Khi cuộc tấn công đang diễn ra, payload tìm kiếm dữ liệu nhạy cảm bằng cách quét các ứng dụng cụ thể như Trust Wallet, Phantom và MetaMask. Nó cũng tìm kiếm qua mã QR, Ghi chú và Ảnh để tìm các mục như artefact cụm từ hạt giống hoặc khóa riêng. Lỗ hổng ảnh hưởng đến các phiên bản từ iOS 13.0–17.2.1. Để bảo vệ thiết bị của bạn khỏi chuỗi tấn công đã biết này, bạn nên kích hoạt Chế độ Khóa và đảm bảo bạn đã cập nhật lên phiên bản iOS mới nhất.
Hoạt động của bộ khai thác này rất tinh vi. Nó bắt đầu bằng cách xác định dấu vân tay của một thiết bị mục tiêu để xác định phiên bản iOS đã được cài đặt, sau đó nó tự động chọn một chuỗi khai thác WebKit phù hợp. Các tiêu chí để kích hoạt cuộc tấn công rất tối thiểu, chỉ cần một chuyến thăm vào một trang web độc hại.
Khi cuộc tấn công đang diễn ra, payload tìm kiếm dữ liệu nhạy cảm bằng cách quét các ứng dụng cụ thể như Trust Wallet, Phantom và MetaMask. Nó cũng tìm kiếm qua mã QR, Ghi chú và Ảnh để tìm các mục như artefact cụm từ hạt giống hoặc khóa riêng. Lỗ hổng ảnh hưởng đến các phiên bản từ iOS 13.0–17.2.1. Để bảo vệ thiết bị của bạn khỏi chuỗi tấn công đã biết này, bạn nên kích hoạt Chế độ Khóa và đảm bảo bạn đã cập nhật lên phiên bản iOS mới nhất.