Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Coruna colpisce iPhone: exploit iOS “Triangulation” aggiornati per attacchi di massa via Safari
Il kit di exploit per iOS chiamato Coruna sta attirando molta attenzione nel mondo della cybersecurity per un motivo preciso: riutilizza e aggiorna codice di exploit del kernel già visto nella campagna Operation Triangulation del 2023, collegando in modo più solido due filoni di attacco che in passato sembravano solo accomunati da vulnerabilità simili. Le analisi tecniche indicano che non si tratta di una semplice raccolta di exploit pubblici, ma di un framework in evoluzione continua, mantenuto e adattato alle nuove versioni di iOS e ai processori più recenti.
Coruna è stato descritto come un exploit kit capace di colpire diversi modelli di iPhone con versioni di iOS comprese tra 13.0 e 17.2.1. Nel tempo il suo utilizzo si sarebbe spostato da operazioni mirate a scenari più ampi, includendo attacchi watering hole e campagne di sfruttamento di massa. In alcuni casi la catena di compromissione è stata distribuita tramite siti falsi a tema gioco d’azzardo e criptovalute, con l’obiettivo di installare malware per il furto di dati come PlasmaLoader.
Dal punto di vista tecnico, il kit includerebbe cinque catene complete di exploit iOS e un totale di 23 exploit. Tra questi compaiono CVE-2023-32434 e CVE-2023-38606, vulnerabilità già sfruttate come zero day in Operation Triangulation. Le indagini mostrano inoltre la presenza di ulteriori exploit kernel costruiti sullo stesso impianto di exploitation, con porzioni di codice condivise e logiche comuni.
Un elemento chiave è la compatibilità con hardware moderno, con riferimenti a processori come A17 e la famiglia M3, oltre a controlli specifici per build di iOS recenti. La sequenza di attacco tipica parte da Safari: la vittima visita un sito compromesso, uno stager esegue fingerprinting del browser e del sistema operativo, quindi serve l’exploit più adatto. Dopo il download dei componenti, il payload avvia exploit del kernel, loader Mach-O e il launcher del malware. Il launcher coordina la fase post-exploitation, rilascia l’impianto finale e tenta di ripulire le tracce per ridurre le possibilità di analisi forense.
Questo scenario aumenta il rischio per chi utilizza dispositivi non aggiornati, perché un framework nato per cyber spionaggio può trasformarsi rapidamente in uno strumento riutilizzabile su larga scala.