In einer Ära, in der digitale Währungen immer beliebter werden, haben sich Cybersecurity-Bedrohungen weiterentwickelt, um diese neuen Formen des Reichtums ins Visier zu nehmen. Forscher bei Google haben kürzlich eine dringende Warnung vor einem ausgeklügelten Cyber-Angriffswerkzeug namens "Coruna" herausgegeben, das speziell entwickelt wurde, um ältere Versionen des iPhone-Betriebssystems von Apple auszunutzen. Diese bösartige Software zielt darauf ab, Informationen aus Kryptowährungs-Wallets zu stehlen und stellt ein erhebliches Risiko für Benutzer dar, die noch mit veralteten iOS-Versionen arbeiten. Dieser Artikel geht auf die detaillierten Erkenntnisse der Google Threat Intelligence Group (GTIG) ein und bietet Einblicke in die weitreichenden Auswirkungen dieser Cyber-Bedrohung.
Das Coruna-Exploit-Kit stellt eine beeindruckende Bedrohungslandschaft dar, die auf Geräte abzielt, die iOS-Versionen von 13.0 bis 17.2.1 ausführen, und deckt einen Veröffentlichungszeitraum zwischen 2019 und 2023 ab. Es enthält fünf vollständig konstruierte iOS-Exploit-Ketten und 23 einzelne Schwachstellen, von denen einige der Öffentlichkeit bisher unbekannt waren. Der Angriffsvektor wird typischerweise durch betrügerische Kryptowährungs-Websites initiiert, die den Exploit liefern, wenn sie von betroffenen Geräten besucht werden. Der versteckte Code auf diesen Seiten ist in der Lage, eine detaillierte Analyse des Geräts durchzuführen, bevor ein maßgeschneiderter Angriff gestartet wird, der darauf abzielt, Finanzinformationen abzuzapfen.
Coruna ist besonders geschickt darin, Seed-Phrasen von Kryptowährungs-Wallets ins Visier zu nehmen, entscheidende Informationen, die für die Wiederherstellung von Wallets benötigt werden. Es durchsucht Nachrichten nach Schlüsselwörtern wie "Sicherungsphrase" oder "Bankkonto". Darüber hinaus konzentriert sich der Exploit auf Daten, die mit beliebten Krypto-Anwendungen wie MetaMask und Uniswap verknüpft sind, was das Risiko für Benutzer erhöht, die intensiv mit digitalen Vermögenswerten interagieren. Dies unterstreicht die wachsende Verbindung zwischen Cybersecurity-Bedrohungen und der expandierenden Welt der dezentralen Finanzen.
Das Coruna-Exploit-Kit wurde erstmals im Februar 2025 identifiziert. Zunächst wurde es in Operationen beobachtet, die von Überwachungsanbietern durchgeführt wurden, die versuchten, mobile Geräte zu kompromittieren. Später tauchte es auf kompromittierten ukrainischen Websites auf, wo es gezielte Angriffe auf bestimmte iPhone-Benutzer basierend auf ihrem geografischen Standort lieferte. Bis zum Jahresende war Coruna in zahlreiche gefälschte, finanzbezogene Websites integriert, die wahrscheinlich mit chinesischen Cyberkriminalitätsnetzwerken in Verbindung stehen. Diese Websites gaben sich oft als legitime Kryptowährungshandelsplattformen aus, um ahnungslose Opfer anzulocken.
Trotz laufender Untersuchungen bleibt unklar, wie sich Coruna über seine anfänglichen Grenzen hinaus verbreitet hat. Einige Experten vermuten das Vorhandensein eines aktiven Marktes für zuvor entwickelte Hacking-Tools, die Cyberkriminelle für neue Kampagnen umfunktionieren können. Sicherheitsunternehmen wie iVerify betonen die Komplexität des Exploits und stellen fest, dass er die Raffinesse und Ressourcen verkörpert, die staatlich geförderten Cyber-Tools ähneln. Das Fehlen eindeutiger technischer Beweise macht es jedoch spekulativ, den Exploit mit einer Regierungseinheit in Verbindung zu bringen.
Google-Forscher betonen, dass der Coruna-Exploit keine Geräte kompromittiert, die die neuesten iOS-Versionen ausführen. Sie empfehlen dringend, dass iPhone-Benutzer ihre Software aktualisieren, um potenzielle Risiken zu mindern. Diese Updates enthalten oft wesentliche Sicherheitspatches, die Schwachstellen schließen, die von solcher Malware ausgenutzt werden. Für diejenigen, die einem erhöhten Risiko von Cyber-Bedrohungen ausgesetzt sind, kann das Aktivieren des Lockdown-Modus von Apple Geräte weiter schützen, indem es Angriffsvektoren einschränkt.
Die von Googles Sicherheitsforschern herausgegebene Warnung findet weltweit Anklang bei Benutzern, insbesondere in Regionen, in denen die Einführung von Kryptowährungen weit verbreitet ist. In Ländern wie Nigeria, wo digitale Vermögenswerte ein erhebliches Wachstum verzeichnet haben, nutzen Cyberkriminelle häufig gefälschte Investitionsplattformen oder Phishing-Websites, um sensible Wallet-Anmeldedaten von Benutzern zu extrahieren. Da Kryptowährungen zunehmend integraler Bestandteil von Finanzökosystemen weltweit werden, ist der Bedarf an robusten Cybersecurity-Maßnahmen wichtiger denn je.
Die Entdeckung des Coruna-Exploits dient als eindringliche Erinnerung an die sich ständig weiterentwickelnde Natur von Cyber-Bedrohungen im digitalen Zeitalter. Da Smartphones und Kryptowährungen zu einem integralen Bestandteil des täglichen Lebens werden, ist es entscheidend, dass Geräte mit den neuesten Sicherheitspatches auf dem neuesten Stand gehalten werden. Für Benutzer, die Kryptowährungen auf ihren Geräten handeln oder speichern, kann die Wachsamkeit gegenüber Phishing-Versuchen und die Nutzung von Sicherheitsfunktionen wie dem Lockdown-Modus eine zusätzliche Schutzschicht bieten. Wie immer bleibt die beste Verteidigung gegen solche Bedrohungen Bildung, proaktive Sicherheitspraktiken und rechtzeitige Updates.
