C’è una certa ironia nel fatto che uno degli ecosistemi più blindati del mercato venga colpito proprio attraverso la sua componente più quotidiana: la navigazione web. È da lì che parte Coruna, un nuovo exploit kit individuato nelle ultime ore dal Google Threat Intelligence Group insieme ai ricercatori indipendenti di iVerify. Il bersaglio è chiaro: gli iPhone non aggiornati alle versioni più recenti di iOS. E la portata potenziale è tutt’altro che trascurabile, perché il kit è progettato per funzionare su dispositivi con iOS dalla versione 13 fino alla 17.2.1.
Coruna trasforma Safari in un bancomat per hacker
Ciò che rende Coruna interessante, e in parte inquietante, non è solo la sua efficacia ma la sua architettura. Non si tratta di un singolo exploit isolato, bensì di un vero e proprio arsenale modulare costruito attorno a cinque diverse exploit chain complete. In totale entrano in gioco ventitré vulnerabilità differenti, combinate in vari percorsi d’attacco. Questo significa che il kit è in grado di adattarsi dinamicamente al dispositivo che ha davanti, scegliendo di volta in volta la strada più efficace per aggirarne le difese.
Il meccanismo di attacco inizia in modo relativamente semplice: la vittima visita un sito compromesso o creato appositamente per l’operazione. Da quel momento entra in scena uno script JavaScript nascosto che avvia una fase di ricognizione piuttosto accurata. Il codice raccoglie informazioni sul modello dell’iPhone, sulla versione di iOS installata e su alcune impostazioni di sicurezza attive nel sistema. In pratica il dispositivo viene “profilato” in pochi istanti.
A quel punto Coruna decide quale delle sue catene di exploit utilizzare. Se le condizioni sono favorevoli, il codice tenta di superare le protezioni del sistema operativo, ottenere privilegi elevati e installare un payload finale. Questo malware può sottrarre dati sensibili oppure scaricare ulteriori moduli, trasformando l’iPhone compromesso in una piattaforma da cui estrarre informazioni o condurre altre attività malevole.
Venti vulnerabilità e cinque percorsi
Un dettaglio che ha colpito particolarmente i ricercatori riguarda i controlli interni del kit. Coruna verifica infatti se sul dispositivo è attiva la Lockdown Mode, la modalità di protezione estrema introdotta da Apple per difendere utenti particolarmente esposti a spyware avanzati. Se la funzione è attiva, l’exploit interrompe immediatamente l’esecuzione. Lo stesso succede quando la navigazione avviene in modalità privata. Non è una precauzione casuale: indica che gli autori del kit hanno progettato il sistema per evitare ambienti più difficili da compromettere o da analizzare.
Secondo il report tecnico pubblicato da iVerify, l’architettura di Coruna presenta alcune somiglianze con strumenti di hacking attribuiti in passato al governo degli Stati Uniti. Non ci sono però elementi che indichino un coinvolgimento diretto di agenzie governative. L’ipotesi più plausibile è diversa: qualcuno potrebbe aver raccolto exploit sviluppati originariamente in contesti statali, poi resi pubblici nel tempo, e li avrebbe riorganizzati in un unico kit pronto all’uso per attività criminali.
Se questa interpretazione fosse confermata, si tratterebbe di uno dei primi casi documentati di riciclo di exploit su larga scala all’interno di un toolkit criminale. Non è un passaggio banale, perché segnala come strumenti un tempo confinati nelle operazioni di cyber-intelligence possano finire rapidamente nel sottobosco del cybercrime.
Coruna punta ai portafogli crypto, con stile modulare
Le campagne osservate finora sembrano puntare soprattutto su attacchi di tipo watering hole. In pratica i criminali allestiscono o compromettono siti web frequentati da potenziali vittime, trasformandoli in trappole digitali. Tra gli esempi individuati ci sono anche piattaforme che imitano servizi legati al mondo delle criptovalute, progettate per attirare utenti interessati al settore.
Ed è proprio qui che diventa chiaro il vero obiettivo dell’operazione. Il malware installato sugli iPhone compromessi non ha caratteristiche da spyware governativo o da strumento di sorveglianza avanzata. I moduli individuati sono progettati per qualcosa di molto più diretto: estrarre dati dai wallet crypto e, soprattutto, recuperare le frasi seed che permettono di ricostruire l’accesso ai portafogli digitali. In altre parole, Coruna non nasce per spiare governi o dissidenti, ma per fare soldi. E nel panorama del cybercrime moderno, questo spesso basta a renderlo estremamente pericoloso.
