Các chuyên gia bảo mật của Google vừa đưa ra cảnh báo về một bộ công cụ khai thác (exploit kit) mới có tên Coruna, được thiết kế để đánh cắp dữ liệu nhạy cảm của người dùng iPhone, đặc biệt là thông tin liên quan đến ví tiền điện tử. Công cụ này đang bị tin tặc sử dụng để tấn công người dùng thông qua các trang web lừa đảo liên quan đến crypto.
Theo báo cáo từ Google Threat Intelligence Group (GTIG), Coruna – còn được biết đến với tên gọi CryptoWaters – nhắm mục tiêu vào các mẫu iPhone cũ chạy hệ điều hành từ iOS 13 đến iOS 17.2.1. Điều này đồng nghĩa với việc các thiết bị mới hơn có mức độ an toàn cao hơn, tuy nhiên số lượng thiết bị dễ bị tấn công vẫn còn rất lớn.
Cách thức tấn công của Coruna
Bộ công cụ Coruna được đánh giá là khá phức tạp, bao gồm 5 chuỗi khai thác với tổng cộng 23 lỗ hổng khác nhau. Các nhà nghiên cứu cho biết hệ thống này đã được phát hiện từ năm ngoái và được sử dụng bởi các nhóm hacker đến từ Nga và Trung Quốc.
Ban đầu, một nhóm gián điệp mạng bị nghi là từ Nga đã sử dụng công cụ này để nhắm vào một số người dùng tại Ukraine. Sau đó, các chuyên gia phát hiện một mô hình tương tự xuất hiện trên nhiều website giả mạo tại Trung Quốc.
Cơ chế hoạt động của Coruna khá tinh vi:
- Khi người dùng truy cập vào trang web độc hại, bộ exploit sẽ tự động kích hoạt.
- Hệ thống tiến hành quét thiết bị và thu thập dấu vân tay kỹ thuật số (device fingerprinting) để xác định mẫu máy và phiên bản iOS.
- Sau đó, nó tìm cách vượt qua cơ chế xác thực bảo mật của thiết bị.
- Cuối cùng, malware bắt đầu thu thập dữ liệu nhạy cảm, bao gồm cụm từ khôi phục ví (seed phrase), mật khẩu và các từ khóa liên quan đến crypto.
Theo các chuyên gia, việc đánh cắp những thông tin này có thể dẫn đến thiệt hại tài chính rất lớn, đặc biệt với những người lưu trữ nhiều tài sản số trong ví.
Liên quan đến các lỗ hổng từng bị khai thác trước đây
Google cho biết một số thành phần trong Coruna khai thác các lỗ hổng từng được sử dụng dưới dạng zero-day trong chiến dịch Operation Triangulation, được công ty bảo mật Kaspersky phát hiện vào năm 2023.
Bộ công cụ này cũng tích hợp các module có thể tái sử dụng để đơn giản hóa quá trình tấn công. Một ví dụ là module rwx_allocator, cho phép vượt qua các cơ chế bảo vệ của hệ thống nhằm cấp quyền truy cập bộ nhớ có khả năng đọc – ghi – thực thi (RWX).
Cập nhật liên tục tại Tiền Điện Tử để nắm bắt tin tức mới nhất về thị trường crypto, đánh giá chi tiết các đồng coin tiềm năng và những chương trình Airdrop hấp dẫn mỗi ngày.
