北京
奔跑財經(jīng)3月6日消息,谷歌威脅分析組警告稱,一個被開發(fā)者命名為"Coruna"的"新型且強(qiáng)大"的iOS漏洞工具包,已被部署在虛假金融和加密貨幣網(wǎng)站上,旨在誘騙iPhone用戶訪問那些能夠靜默實(shí)施漏洞利用的頁面。
對于加密貨幣持有者而言,風(fēng)險是直接的:GTIG的分析顯示,這些攻擊活動的最終目標(biāo)是竊取常用移動應(yīng)用中的助記詞和錢包數(shù)據(jù)。Coruna的目標(biāo)是運(yùn)行iOS 13.0至iOS 17.2.1版本的蘋果設(shè)備,其捆綁了五個完整的漏洞利用鏈和23個漏洞。
GTIG表示,在詐騙浪潮階段,他們觀察到Coruna背后的JavaScript框架被部署在"非常大量"的、主要以金融為主題的簡體中文虛假網(wǎng)站上。GTIG引用了一個例子:一個假冒WEEX品牌的加密貨幣交易所頁面,試圖引導(dǎo)訪問者使用iOS設(shè)備——之后會注入一個隱藏的iFrame,"無論用戶身處何地",都會投遞漏洞利用工具包。
這種投遞機(jī)制之所以關(guān)鍵,是因?yàn)樗:藗鹘y(tǒng)釣魚攻擊與直接設(shè)備入侵之間的界限:根據(jù)GTIG的描述,只要使用存在漏洞的iPhone訪問了設(shè)伏的頁面,就足以啟動攻擊鏈。該框架會對設(shè)備進(jìn)行指紋識別,以確定型號和iOS版本,然后加載相應(yīng)的WebKit遠(yuǎn)程代碼執(zhí)行漏洞和指針認(rèn)證繞過。
在攻擊鏈的最后階段,GTIG稱Coruna會投放一個名為PlasmaLoader的加載器,并描述其重點(diǎn)不在于傳統(tǒng)的監(jiān)控功能,而在于竊取財務(wù)信息。
用戶現(xiàn)在可以做什么
谷歌表示,Coruna"對最新版本的iOS無效",并敦促用戶進(jìn)行更新。如果無法更新,GTIG建議啟用蘋果的鎖定模式。GTIG還表示,已將被識別的網(wǎng)站和域名添加到谷歌安全瀏覽中,以幫助減少進(jìn)一步的暴露。
對于加密原生用戶而言,當(dāng)前的直接啟示是實(shí)用的:移動錢包處于高價值資產(chǎn)與高頻網(wǎng)絡(luò)流量的交匯點(diǎn),這使得"訪問即入侵"類攻擊活動具有獨(dú)特的危險性。GTIG的報告表明,這個詐騙漏斗不僅僅是為了讓受害者連接錢包,更是為了讓他們使用特定設(shè)備、運(yùn)行特定iOS版本,以便漏洞利用能夠完成后續(xù)工作。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
