Un nuovo e sofisticato toolkit di hacking, scoperto da Google, mette a rischio i possessori di iPhone e i loro portafogli di criptovalute. Battezzato "Coruna", questo malware è in grado di infettare i dispositivi Apple in modo totalmente passivo, semplicemente visitando un sito web compromesso, per poi sottrarre fondi da alcune delle applicazioni di crypto-wallet più popolari al mondo.
La minaccia, emersa dalle analisi dei team di sicurezza di Google, rappresenta un salto di qualità pericoloso nel panorama degli attacchi informatici, combinando la silenziosità di uno zero-click exploit con un obiettivo finanziario diretto.
Attacco Invisibile: Basta un Click per Essere Infettati
La caratteristica più preoccupante di Coruna è la sua capacità di operare senza alcuna interazione da parte della vittima. A differenza del classico phishing che richiede di cliccare un link malevolo o scaricare un file infetto, questo toolkit sfrutta vulnerabilità profonde del sistema operativo iOS.
Un utente con un iPhone non aggiornato è sufficiente che atterri su un sito web fasullo o compromesso per innescare l'infezione. Una volta dentro, il malware non ruba password, ma va direttamente alla fonte: le frasi seed (seed phrase) necessarie per ripristinare e controllare un wallet crypto.
Coruna scansiona silenziosamente messaggi, note e altri archivi dell'iPhone alla ricerca di stringhe di testo specifiche come "backup phrase" o "frase di ripristino", insieme a 12 o 24 parole. Trovata la sequenza, gli attaccanti ottengono il pieno controllo dei fondi, aggirando qualsiasi ulteriore autenticazione.
Chi È Nel Mirino: 18 App a Rischio
L'attacco non è mirato a una singola piattaforma, ma prende di mira un'intera costellazione di applicazioni di finanza decentralizzata (DeFi). Secondo le analisi di Google, sono 18 le app crypto nel mirino di Coruna, tra cui giganti del settore come MetaMask, Phantom, Exodus, Trust Wallet e Uniswap. Gli utenti di queste piattaforme sono quindi esposti a un rischio diretto e immediato di furto di criptovalute.
La Genesi di una Minaccia Multipla
La storia di Coruna è complessa e rivela un mercato nero in espansione per gli exploit informatici. Google ha ricostruito il percorso del toolkit, recuperandolo da centinaia di siti web fasulli, tra cui una replica ingannevole della piattaforma di crypto-exchange WEEX.
L'analisi ha rivelato un utilizzo trasversale e preoccupante:
- Nell'estate del 2025, un sospetto gruppo di spionaggio russo ha utilizzato lo stesso toolkit per colpire utenti iPhone in Ucraina, sfruttando siti web di aziende locali compromessi.
- Successivamente, un gruppo criminale con base in Cina, motivato da fini finanziari, lo ha diffuso su larga scala attraverso siti truffa, permettendo a Google di recuperare il codice completo e ribattezzarlo Coruna.
Questo passaggio di mano suggerisce l'esistenza di un fiorente mercato secondario per strumenti di hacking estremamente potenti.
Come Proteggersi: La Soluzione C'è
Nonostante la pericolosità dell'attacco, la difesa è sorprendentemente semplice e già disponibile. La vulnerabilità sfruttata da Coruna colpisce gli iPhone con iOS 17.2.1 o versioni precedenti. Apple ha rilasciato la patch definitiva per questi exploit con l'aggiornamento a iOS 17.3, pubblicato nel gennaio 2024. Chi non ha installato gli aggiornamenti da oltre un anno e mezzo è potenzialmente a rischio.
Inoltre, Apple aveva già introdotto una misura di sicurezza estrema che si è rivelata fatale per il toolkit: la Modalità Isolamento (Lockdown Mode). Se attivata nelle impostazioni dell'iPhone, questa funzione blocca completamente l'attacco: Coruna, una volta rilevata la presenza della modalità, cessa immediatamente la sua esecuzione.
Un'Eredità Pericolosa: Gli Exploit Riciclati
L'analisi di Coruna ha infine rivelato un altro tassello preoccupante: due degli exploit alla base del toolkit erano già stati utilizzati in una precedente e celebre campagna di spionaggio su iOS, l'Operazione Triangolazione, scoperta da Kaspersky nel 2023. Questo dimostra come gli exploit di livello "elite", una volta sviluppati, continuino a circolare e a essere riutilizzati da diversi attori, passando da agenzie di sorveglianza a gruppi statali e, infine, alla criminalità finanziaria comune.
