Warnung für iPhone-Nutzer: Krypto-Betrug durch „Coruna“-iOS-Exploits
Die Threat Intelligence Group von Google (GTIG) warnt vor einem neuen und leistungsstarken iOS-Exploit-Kit namens Coruna. Dieses wurde auf gefälschten Finanz- und Krypto-Webseiten eingesetzt, um iPhone-Nutzer dazu zu verleiten, Seiten zu besuchen, die unbemerkt Exploits ausliefern können. Für Krypto-Besitzer besteht das Risiko, dass diese Kampagnen darauf abzielen, Seed-Phrasen und Wallet-Daten von beliebten mobilen Apps zu stehlen.
Coruna zielt auf Apple-Geräte mit iOS-Versionen von 13.0 bis 17.2.1 ab und umfasst fünf vollständige Exploit-Ketten sowie 23 Exploits. GTIG hat das Kit nachverfolgt und seine Entwicklung über das Jahr 2025 hinweg beobachtet. Es wurde zunächst von einem Kunden eines kommerziellen Überwachungsunternehmens genutzt, dann für Angriffe auf kompromittierte ukrainische Webseiten eingesetzt und schließlich über chinesischsprachige Betrugsseiten verbreitet, die mit einem finanziell motivierten Akteur in Verbindung stehen, den GTIG als UNC6691 identifiziert hat.
Ein Krypto-Köder für iPhones
In der Phase der Betrugswelle beobachtete GTIG, dass das JavaScript-Framework hinter Coruna auf einer großen Anzahl gefälschter chinesischer Webseiten eingesetzt wurde, die hauptsächlich Finanzthemen behandelten. Ein Beispiel ist eine gefälschte WEEX-Krypto-Börsenseite, die Besucher auf ein iOS-Gerät locken wollte, woraufhin ein verstecktes iFrame den Exploit-Kit lieferte, unabhängig von deren geografischem Standort.
Die Art der Auslieferung ist entscheidend, da sie die Grenze zwischen traditionellem Phishing und direkter Gerätekompromittierung verwischt. Laut GTIG reicht es aus, mit einem anfälligen iPhone auf der manipulierten Seite zu landen, um die Exploit-Kette zu starten. Das Framework identifiziert das Gerät und die iOS-Version, um dann den passenden WebKit-Remote-Code-Execution-Exploit und einen Pointer Authentication (PAC) Bypass zu laden.
GTIG hat einen WebKit-RCE mit der CVE-2024-23222 in Verbindung gebracht, die von Apple in iOS 17.3 am 22. Januar 2024 behoben wurde.
Am Ende der Kette platziert Coruna einen Stager namens PlasmaLoader (auch als PLASMAGRID bekannt), der weniger auf klassische Überwachungsfunktionen und mehr auf den Diebstahl finanzieller Informationen fokussiert ist. Laut GTIG kann die Nutzlast QR-Codes aus auf dem Gerät gespeicherten Bildern dekodieren und Textblöcke nach BIP39-Wortsequenzen sowie Schlüsselwörtern wie „Backup-Phrase“ und „Bankkonto“ durchsuchen, auch in Apple Memos, die dann exfiltriert werden können.
Die Nutzlast ist zudem modular aufgebaut. GTIG berichtet, dass sie zusätzliche Module aus der Ferne herunterladen und ausführen kann. Viele der identifizierten Module sind darauf ausgelegt, Funktionen zu überwachen und sensible Informationen aus gängigen Krypto-Wallet-Apps zu exfiltrieren, darunter MetaMask, Trust Wallet, Uniswap’s Wallet, Phantom, Exodus und Wallets des TON-Ökosystems wie Tonkeeper.
Was Krypto-Nutzer jetzt tun können
Google erklärt, dass Coruna „nicht gegen die neueste iOS-Version wirksam ist“ und rät Nutzern, ihre Geräte zu aktualisieren. Wenn ein Update nicht möglich ist, empfiehlt GTIG, den Lockdown-Modus von Apple zu aktivieren. Zudem hat GTIG die identifizierten Webseiten und Domains zu Google Safe Browsing hinzugefügt, um die weitere Verbreitung zu reduzieren.
Für Krypto-Nutzer ist die unmittelbare Erkenntnis praktisch: Mobile Wallets befinden sich an der Schnittstelle von hochpreisigen Vermögenswerten und häufigem Webverkehr, was „Visit-to-Compromise“-Kampagnen besonders gefährlich macht. GTIGs Berichterstattung legt nahe, dass der Betrugstrichter nicht nur darauf abzielte, Opfer dazu zu bringen, Wallets zu verbinden, sondern sie auf das richtige Gerät mit der richtigen iOS-Version zu bringen, damit die Ausnutzung den Rest erledigen konnte.
Zum Zeitpunkt der Veröffentlichung betrug die gesamte Marktkapitalisierung von Kryptowährungen 2,45 Billionen $.
