El grupo de inteligencia de amenazas de Google y la empresa de seguridad iVerify han compartido detalles sobre Corona, un kit de explotación que encadena múltiples vulnerabilidades para apuntar a iPhones que ejecutan versiones anteriores de iOS. Aquí están los detalles.
debajo del capó
como caracterizado por cableadoUn post publicado hoy Blog de la nube de Google describe un kit de exploits llamado Corona, que utiliza cinco cadenas completas de exploits de iOS y 23 vulnerabilidades para comprometer iPhones sin parches que ejecutan iOS 13 hasta iOS 17.2.1.
A un nivel muy alto, el kit de explotación Coruña funciona encadenando múltiples vulnerabilidades para violar secuencialmente las capas de seguridad del iPhone.
Después de visitar un sitio malicioso que utiliza JavaScript oculto para verificar el modelo del dispositivo, la versión del sistema y otras configuraciones de seguridad, el atacante puede eludir las protecciones principales de iOS, obtener privilegios de alto nivel e instalar malware que puede recopilar datos o descargar módulos adicionales.
Curiosamente, Google señala que el exploit comprueba si el modo de bloqueo está habilitado en el dispositivo y, si es así, cancela el proceso, o si el usuario está en modo de navegación privada.
Para ser claros, el kit de explotación está dirigido a iPhones que ejecutan versiones anteriores de iOS y no es efectivo contra las últimas versiones del sistema. Esta es una de las muchas razones por las que es importante mantener actualizado el dispositivo.
Para obtener una visión más profunda de cómo funciona Corona, así como la lista completa de vulnerabilidades (y sus CVE, cuando estén disponibles) que afectan a cada versión individual de iOS entre iOS 13 y iOS 17.2.1, consulte Publicación completa En el blog de Google Cloud.
entre bastidores
Además de la publicación de Google, la empresa de seguridad móvil iVerify también publicó un informe Sobre Corona, ofrece contexto adicional sobre sus posibles orígenes.
Basándose en la ingeniería inversa del marco, iVerify dijo que Corona parece estar construida sobre los mismos cimientos que las herramientas de piratería del gobierno de EE. UU.
Del informe de iVerify:
Esta es la primera explotación generalizada de teléfonos móviles con iOS por parte de un grupo criminal, posiblemente utilizando herramientas desarrolladas por un Estado-nación.
Lo que señalan es que, a pesar de las aparentes raíces compartidas de Corona con otras herramientas de piratería vinculadas al gobierno de EE. UU., parece haber sido filtrada en algún momento y desplegada en campañas por espías rusos y ciberdelincuentes con base en China.
Informe tras informe del año pasado ha demostrado que el software espía ha ido más allá de los objetivos esperados en la sociedad civil, como periodistas y delincuentes disidentes, para atacar servicios tecnológicos y financieros, campañas políticas y personas influyentes o personas privilegiadas. Cuanto mayor sea el uso, más segura será la fuga.
En la campaña monitoreada, iVerify y Google dijeron que el kit de explotación se distribuyó a través de ataques de “pozo de agua” en sitios web comprometidos con servicios de criptomonedas falsos diseñados para atraer a las víctimas a páginas maliciosas.
En esta campaña, la carga útil final parece tener una motivación financiera, con módulos diseñados para extraer datos de billeteras de criptomonedas y frases de recuperación de dispositivos infectados.
Para leer el informe completo de iVerify, Sigue este enlace.
