Nelle ultime ore il Threat Intelligence Group di Google, realtà nata anche grazie all’acquisizione di Mandiant, insieme agli specialisti indipendenti di iVerify, ha acceso i riflettori su un nuovo exploit kit chiamato Coruna che agirebbe su iPhone. Il punto è semplice e piuttosto scomodo: questo kit sembra pensato apposta per colpire gli iPhone che non montano le versioni più recenti di iOS, con un raggio d’azione dichiarato enorme, dalla versione 13 fino alla 17.2.1.
Coruna, l’exploit kit che punta gli iPhone non aggiornati
Coruna non è il classico attacco “a colpo singolo”. Qui si parla di un lavoro di fino, costruito per adattarsi al bersaglio. Secondo quanto riportato, il kit mette in campo ben cinque catene di exploit complete, che nel complesso sfruttano 23 vulnerabilità diverse. Tradotto: più strade pronte all’uso, così che se una difesa regge o un passaggio fallisce, ce n’è subito un altro da tentare.
L’innesco, come spesso accade, parte da un sito compromesso. Una pagina infetta esegue codice JavaScript nascosto che fa una prima cosa fondamentale: “capire” chi c’è dall’altra parte. Modello del telefono, versione di iOS, impostazioni di sicurezza, dettagli utili per scegliere la catena di exploit più efficace. A quel punto l’attacco prova a superare le protezioni, salire di privilegi e aprirsi la strada verso l’installazione di un malware capace di rubare dati o di scaricare altri moduli, a seconda dell’obiettivo.
Quello che colpisce, nel racconto tecnico, è la cura nel riconoscere gli ambienti più ostici. Il kit controlla se è attiva la Lockdown Mode e, se lo è, interrompe tutto. Stessa logica quando la navigazione avviene in modalità privata: anche lì, stop. Non è un dettaglio da poco, perché racconta un approccio pragmatico e “industriale”: evitare i contesti dove aumentano le probabilità di fallimento o dove l’utente è già in assetto difensivo.
Non è uno strumento governativo: attenti ai vostri iPhone
Nel report, iVerify nota che l’architettura di Coruna presenta somiglianze con strumenti di hacking attribuiti in passato al governo statunitense. Attenzione però: non significa che ci sia un coinvolgimento diretto. L’ipotesi che circola è diversa, e se confermata sarebbe ancora più interessante, oltre che inquietante.
L’idea è che un gruppo criminale possa aver recuperato exploit di matrice governativa finiti pubblicamente online in passato, riassemblandoli in un pacchetto coerente e “pronto all’uso”, cioè un vero exploit kit con logica modulare, controlli preventivi e percorsi alternativi. Se fosse davvero così, sarebbe uno dei primi casi documentati in modo chiaro di riutilizzo sistematico di arsenali nati per altri scopi, poi riciclati su scala più ampia contro utenti comuni.
