Threat Intelligence Group de Google y la firma de seguridad iVerify han compartido detalles sobre Coruna, un kit de exploits que reúne múltiples vulnerabilidades para apuntar a iPhones que ejecutan versiones anteriores de iOS. Aquí están los detalles.
Debajo del capó
Como visto por cableadoun artículo publicado hoy en el Blog de la nube de Google revela detalles de un kit de exploits llamado Coruna, que explota cinco cadenas completas de exploits de iOS y 23 vulnerabilidades para comprometer iPhones sin parches que ejecutan iOS 13 hasta iOS 17.2.1.
A un nivel muy alto, el kit de explotación Coruna funciona encadenando múltiples vulnerabilidades para violar progresivamente las capas de seguridad del iPhone.
Después de visitar un sitio malicioso que utiliza JavaScript oculto para verificar el modelo del dispositivo, la versión del sistema y otras configuraciones de seguridad, el ataque puede tomar varias rutas para eludir las protecciones principales de iOS, obtener privilegios de alto nivel e instalar malware que puede recopilar datos o incluso descargar módulos adicionales.
Curiosamente, Google señala que el exploit comprueba si el modo de bloqueo está habilitado en el dispositivo y aborta el proceso si lo está, o si el usuario está en modo de navegación privada.
Para ser claros, el kit de explotación está dirigido a iPhones que ejecutan versiones anteriores de iOS y no es efectivo contra las últimas versiones del sistema. Esta es una de las muchas razones por las que es importante mantener sus dispositivos actualizados.
Para obtener una visión mucho más profunda de cómo funciona Coruña, así como la lista completa de vulnerabilidades (y sus CVE, si corresponde) que afectan a todas las versiones de iOS entre iOS 13 y iOS 17.2.1, consulte el mensaje completo en el blog de Google Cloud.
Entre bastidores
Además del lanzamiento de Google, la empresa de seguridad móvil iVerify también publicó un informe sobre La Coruña, aportando contexto adicional sobre sus posibles orígenes.
Basándose en la ingeniería inversa del marco, iVerify afirma que Coruña parece haber sido construido sobre los mismos cimientos que las conocidas herramientas de piratería del gobierno de EE. UU.
Del informe de iVerify:
Esta es la primera explotación masiva observada de teléfonos móviles, incluido iOS, por parte de un grupo criminal que utiliza herramientas probablemente construidas por un Estado-nación.
A lo que se refieren es que, a pesar de las raíces aparentemente compartidas de Coruña con otras herramientas de piratería vinculadas al gobierno de EE. UU., parece haber sido filtrada en algún momento y desplegada en campañas por espías rusos y ciberdelincuentes con base en China.
El año pasado, informe tras informe, el software espía fue más allá de los objetivos esperados de la sociedad civil, como periodistas y disidentes, además de agentes criminales, para atacar a ejecutivos de las industrias de tecnología y servicios financieros, campañas políticas y otros con influencia o acceso privilegiado. Cuanto más extendido sea su uso, más segura será la existencia de una fuga.
En las campañas observadas, iVerify y Google afirman que el kit de explotación se distribuyó a través de ataques de «pozo de agua» en sitios web comprometidos, incluidos servicios de criptomonedas falsos diseñados para atraer a las víctimas a páginas maliciosas.
En estas campañas, la carga útil final parece tener una motivación financiera, con módulos diseñados para extraer datos de billeteras de criptomonedas y frases de recuperación de dispositivos infectados.
Para leer el informe completo de iVerify, sigue este enlace.
