أصدر فريق استخبارات التهديدات في Google مؤخرًا تقريرًا يكشف عن برنامج تجسس يسمى كورونا. كان من المفترض في الأصل أن يتم تطوير برنامج التجسس هذا بواسطة فريق قرصنة وطني، ولكن من غير المعروف سبب تسربه عبر الإنترنت وبدأ استخدامه من قبل العديد من المتسللين.

تحتوي أداة Coruna على 5 سلاسل كاملة لاستغلال ثغرات iOS، تتضمن إجمالي 23 ثغرة أمنية، وأكثرها تعقيدًا تستخدم تقنيات غير عامة وإجراءات تجاوز التخفيف من الثغرات الأمنية. إصدارات iOS المستهدفة هي iOS 13.0~iOS 17.2.1.

لاحظ فريق استخبارات التهديدات في Google لأول مرة النشاط المتعلق بمجموعة استغلال فيروس كورونا في فبراير 2025. وقد نُسب الهجوم إلى عميل أحد موردي المراقبة التجارية (قدم العميل الطلب وساعد البائع في شن الهجوم).

في ذلك الوقت، حصل الباحثون على إطار عمل تسليم JavaScript واستغلال CVE-2024-23222، وهي ثغرة أمنية في WebKit تسمح للمهاجمين بتنفيذ تعليمات برمجية عن بعد على iOS 17.2.1. قامت شركة Apple بإصلاح الثغرة الأمنية في نظام التشغيل iOS 17.3.

وتضمنت الثغرات الأمنية ذات الصلة أيضًا هجومًا ثلاثيًا ضد Kaspersky، وهو هجوم متطور للغاية تم فيه زرع برامج ضارة على أجهزة iOS التي يستخدمها العديد من موظفي Kaspersky Lab ومراقبتها.

والآن بعد أن تم إصلاح هذه الثغرات الأمنية، يمكن لأداة Coruna شن هجمات فقط على نظام التشغيل iOS 17.2.1 والإصدارات الأقدم. ومع ذلك، في الواقع، لا يرغب العديد من المستخدمين في الترقية أو أن أجهزة iOS لم تعد تدعم الإصدارات الجديدة اللاحقة ولم يتمكنوا من الترقية.

والآن بدأت بعض مجموعات القرصنة ذات المصالح المالية في استخدام أداة كورونا لشن الهجمات. الغرض من هؤلاء المتسللين فردي للغاية، وهو بشكل رئيسي سرقة العبارات التذكيرية لمحافظ العملات المشفرة الموجودة في ألبومات صور المستخدمين، أي أنهم يركزون على سرقة العملات المشفرة.

العملية هي كما يلي:

قم بإلقاء شبكة واسعة أو شن هجمات ضد المستخدمين النشطين في مجال العملات المشفرة. بعد إصابة المستخدم المستهدف ببرمجية كورونا الخبيثة، ستقوم البرمجية الخبيثة بمسح ألبوم صور المستخدم وتحديد ما إذا كانت هناك صور تحتوي على عبارات تذكيرية.

إذا كانت هناك كلمة تذكيرية، فسيتم تحميل الصورة التي تحتوي على العبارة التذكيرية مباشرة إلى خادم C2. لا يهتم المتسلل بالصور الأخرى التي يحفظها المستخدم. لذلك، إذا لم تكن هناك عبارة تذكيرية، على الأقل حتى الآن، لم يتم العثور على أي قراصنة يسرقون صور المستخدم لبدء الابتزاز.

يجب أن نتحدث هنا عن قواعد الأمان في مجال العملات المشفرة:

على أية حال، لا ينبغي عليك حفظ لقطة شاشة للعبارة التذكيرية للمحفظة في ألبوم الصور، كما لا ينبغي عليك التقاط صورة للعبارة التذكيرية المكتوبة بخط اليد وحفظها في ألبوم الصور. أفضل ممارسة أمنية للعبارة التذكيرية هي كتابة العبارة التذكيرية بخط اليد على الورق والاحتفاظ بها في المنزل (من الأفضل كتابة نسخ متعددة بخط اليد).

فقط من خلال منع الوصول فعليًا إلى العبارة التذكيرية يمكن ضمان الأمان. يعد حفظ صور العبارة التذكيرية على هاتف محمول أو تحميلها على قرص الشبكة أسلوبًا غير موثوق به على الإطلاق، كما أن استخدام إصدار iOS قديم سيؤدي إلى تضخيم سطح الهجوم.