El Threat Intelligence Group de Google ha destapado una sofisticada campaña de malware que apunta a iPhones con versiones antiguas de iOS para robar frases semilla de wallets de criptomonedas. Los ataques, que suplantan a exchanges chinos, ponen en jaque la seguridad de los activos digitales de los usuarios.
El equipo de inteligencia de amenazas de Google (GTIG) ha emitido una alerta crítica para los usuarios de iPhone que manejan criptomonedas. Han descubierto un kit de exploits bautizado como ‘Coruna’ que está siendo utilizado para infiltrarse en dispositivos iOS y sustraer frases semilla, la llave maestra que da acceso a las wallets de criptodivisas como MetaMask o Uniswap .
¿Cómo opera ‘coruna’? Un ataque silencioso y dirigido descubierto por Google
Según el informe de Google, ‘Coruna’ no es un virus cualquiera. Se trata de un exploit kit altamente profesional que contiene cinco cadenas de ataque completas y un total de 23 exploits, algunos de ellos desconocidos hasta ahora para el público general. Su objetivo son los iPhones que aún ejecutan versiones de iOS comprendidas entre la 13.0 y la 17.2.1 .
El vector de ataque principal son páginas web fraudulentas. Google detectó que el marco de trabajo de JavaScript de ‘Coruna’ estaba oculto en un gran conjunto de sitios web chinos falsos, muchos de ellos relacionados con las finanzas y exchanges de criptomonedas, suplantando la identidad de plataformas legítimas como WEEX . Cuando un usuario con un iPhone vulnerable visita uno de estos sitios, el exploit kit se ejecuta automáticamente sin necesidad de interacción adicional, buscando en el dispositivo información financiera sensible .
El botín: frases semilla y datos de apps financieras
Una vez dentro, ‘Coruna’ escanea el dispositivo en tiempo real en busca de términos clave como ‘seed phrase’, ‘private key’, ‘backup phrase’ o ‘bank account’. El objetivo es claro: robar las frases de recuperación de wallets de criptomonedas. La investigación señala que el malware es capaz de extraer información de aplicaciones populares como Uniswap y MetaMask, lo que permitiría a los atacantes vaciar por completo las carteras de las víctimas .
¿Quién está detrás? La sombra de la inteligencia estadounidense
La investigación de Google también ha revelado un trasfondo geopolítico inquietante. Se cree que el kit ‘Coruna’ fue desarrollado originalmente por un cliente de una empresa de vigilancia, y todo apunta a que podría haber sido creado o adquirido por el gobierno de Estados Unidos. La firma de seguridad iVerify ha señalado a WIRED que el nivel de sofisticación y el coste de desarrollo (millones de dólares) son característicos de herramientas atribuidas públicamente al gobierno estadounidense .
Sin embargo, la herramienta se ha descontrolado. Google ha podido rastrear su uso por parte de un grupo de espionaje ruso contra objetivos en Ucrania, y ahora en esta oleada de ataques contra propietarios de criptomonedas a través de los sitios web falsos . Aunque Kaspersky se muestra cauto y afirma no haber visto evidencia de reutilización de código que confirme la autoría de EEUU, el consenso es que ‘Coruna’ es una amenaza de primera clase .
Cómo protegerte: Actualiza ya tu iPhone
La buena noticia es que Apple ya ha parcheado las vulnerabilidades que explota ‘Coruna’ en las versiones más recientes de su sistema operativo. Google es tajante en su recomendación: los usuarios de iPhone deben actualizar sus dispositivos a la última versión de iOS disponible de inmediato . Si por alguna razón no es posible la actualización, se recomienda encarecidamente activar el ‘Modo Lockdown’ (Modo de aislamiento) del iPhone, una medida de seguridad extrema que Apple diseñó precisamente para contrarrestar ataques de espionaje altamente sofisticados como este .
Más allá de la actualización, los expertos aconsejan extremar la precaución al navegar por internet y no acceder a plataformas de intercambio de criptomonedas a través de enlaces sospechosos. Verificar siempre la URL del sitio web y, para cantidades significativas, considerar el uso de un hardware wallet (dispositivo físico) que mantiene las claves privadas offline, inmunes a este tipo de ataques basados en software .
Fuentes:
WIRED, The Register, Apple Support.
