Google Threat Intelligence Group et l’éditeur iVerify ont publié de nouveaux éléments sur Coruna, un kit d’exploitation capable d’enchaîner plusieurs failles pour compromettre des iPhone non corrigés, sous d’anciennes versions d’iOS.
L’analyse a été repérée par Wired et s’appuie sur un billet détaillé du Google Cloud Blog, ainsi que sur un rapport séparé d’iVerify.
Sous le capot : cinq chaînes d’exploitation et 23 vulnérabilités
Selon Google, Coruna s’appuie sur cinq chaînes d’exploits iOS et 23 vulnérabilités pour cibler des iPhone dépourvus de correctifs, sur des versions allant d’iOS 13 à iOS 17.2.1. Le principe consiste à chaîner plusieurs failles afin de franchir progressivement les couches de sécurité d’iOS.
- Point d’entrée : la visite d’un site malveillant, avec du JavaScript dissimulé chargé d’identifier le modèle, la version du système et certains réglages de sécurité.
- Exécution en plusieurs parcours : selon l’appareil et la configuration, l’attaque emprunte différentes routes pour contourner des protections d’iOS, obtenir des privilèges élevés et installer un malware.
- Objectifs possibles : collecte de données sur l’appareil et téléchargement de modules additionnels.
- Détections notables : l’exploit vérifierait la présence du mode Isolement (Lockdown Mode) et interromprait l’attaque s’il est activé, ou si la navigation privée est utilisée.
Google précise que Coruna vise des versions anciennes d’iOS et ne fonctionne pas sur les versions les plus récentes du système. Le billet du Google Cloud Blog détaille, version par version entre iOS 13 et iOS 17.2.1, les vulnérabilités concernées et les CVE lorsqu’ils sont disponibles.
En coulisses : une base technique attribuée à des outils étatiques
Dans son rapport, iVerify affirme que Coruna semble construit sur les mêmes fondations que des outils de piratage connus et liés au gouvernement américain, tout en soulignant un basculement vers des usages criminels à grande échelle.
iVerify décrit Coruna comme « la première exploitation de masse observée de téléphones mobiles, y compris iOS, par un groupe criminel utilisant des outils vraisemblablement construits par un État-nation » (iVerify). Le rapport avance que le kit aurait fuité, avant d’être employé dans des campagnes attribuées à des espions russes et à des cybercriminels basés en Chine.
Campagnes observées : “watering hole” et motivation financière
D’après iVerify et Google, Coruna a été distribué via des attaques de type “watering hole” sur des sites compromis, dont de faux services liés aux cryptomonnaies destinés à attirer les victimes vers des pages piégées.
Dans les campagnes analysées, la charge utile finale apparaît principalement orientée vers le vol : des modules auraient été conçus pour extraire des données de portefeuilles crypto et des phrases de récupération à partir des appareils infectés.
