iPhone Sicherheitswarnung: Coruna Hack zielt auf Krypto-Wallet-Wiederherstellungsphrasen ab

• Google-Forscher entdeckten, dass das Coruna-Exploit-Kit iPhones mit den iOS-Versionen 13–17 ins Visier nimmt.
• Das Toolkit enthält 23 Exploits und fünf vollständige Ketten, die Apple-Geräte angreifen.
• Hacker nutzten kompromittierte Webseiten und gefälschte Krypto-Seiten, um gezielte iPhones zu infizieren.

Ein ausgeklügeltes Hacking-Toolkit, das in Apple-iPhones eindringen kann, ist in Spionageoperationen und finanziellen Cyberkriminalitätskampagnen aufgetaucht und zeigt, wie fortschrittliche Überwachungstechnologie schließlich auf einen breiteren kriminellen Einsatz übergehen kann.

Forscher von Google Die Threat Intelligence Group sagt, dass das Exploit-Kit, intern „Coruna“ genannt, iPhones mit den iOS-Versionen 13.0 bis 17.2.1 abdeckt und Geräte abdeckt, die zwischen 2019 und Ende 2023 veröffentlicht wurden.

Das Toolkit enthält fünf vollständige Exploit-Chains und 23 separate Schwachstellen, die es Angreifern ermöglichen, mehrere Schichten von Apples Sicherheitssystem zu durchbrechen und die Kontrolle über ein Gerät zu übernehmen.

Wie die Angriffe funktionierten

Das Coruna-Exploit-Kit verwendet einen ausgeklügelten webbasierten Angriff. Wenn ein Nutzer eine kompromittierte Website besucht, scannt zunächst ein versteckter JavaScript-Code das Gerät, um das iPhone-Modell und die Betriebssystemversion zu bestimmen.

Basierend auf dieser Information lädt der Angriff automatisch die korrekte Exploit-Kette.

Eine der wichtigsten Schwachstellen bei den Angriffen war CVE-2024-23222, ein WebKit-Fehler, der später von Apple in iOS 17.3 behoben wurde.

Die Exploit-Kette umgeht dann mehrere in iOS integrierte Schutzmechanismen und installiert schließlich einen Loader, der mit entfernten Command-and-Control-Servern kommuniziert.

Verwandt: Kryptomärkte bleiben standhaft, während geopolitische Risiken Aktien und Öl treffen

Die ungewöhnliche Reise des Angriffs

Was Coruna besonders bemerkenswert macht, ist, wie es in sehr unterschiedlichen Cyberoperationen im Jahr 2025 auftauchte.

Anfang 2025: Überwachungsnutzung

Die ersten Spuren wurden im Februar 2025 entdeckt, als Forscher beobachteten, dass ein Kunde eines kommerziellen Überwachungsanbieters einen Teil der Exploit-Kette nutzte. Der Angriff verwendete ein eigenes JavaScript-Framework mit Verschleierungstechniken, die dazu dienten, den Exploit-Code zu verbergen.

Mitte 2025: Spionageoperationen

Bis zum Sommer 2025 tauchte dasselbe Framework auf mehreren kompromittierten ukrainischen Webseiten auf.

Die bösartigen Skripte wurden über versteckte iframes in Seiten eingefügt und führten gezielte Angriffe auf die iPhones der Besucher aus. Sicherheitsanalysten gehen davon aus, dass diese Operationen mit einer mutmaßlichen russischen Spionagegruppe in Verbindung standen.

Ende 2025: Finanzkriminalität

Später im Jahr entdeckten die Forscher das vollständige Exploit-Kit, das auf Hunderten gefälschter chinesischer Finanz- und Krypto-Websites eingesetzt wurde.

Zielerfassung von Krypto-Wallets

Im Gegensatz zu vielen Überwachungstools, die sich auf die Überwachung von Kommunikation konzentrieren, scheint die endgültige Nutzlast von Coruna darauf ausgelegt zu sein, Finanzinformationen zu stehlen.

Die Malware scannt das Gerät nach:

• Kryptowährungs-Wiederherstellungsphrasen
• Wallet-Backup-Dateien
• Bankdaten
• sensibler Text, der in Apple Notes gespeichert ist

Trotz seiner Komplexität funktioniert das Exploit-Kit auf den neuesten iOS-Versionen nicht mehr. Sicherheitsexperten empfehlen, dass iPhone-Nutzer ihre Geräte sofort aktualisieren und fortschrittliche Schutzmaßnahmen wie den Lockdown-Modus aktivieren, wenn sie glauben, dass sie ins Visier genommen werden könnten.

Verwandt: Goldman Sachs CEO sagt, Spannungen im Nahen Osten könnten Krypto wochenlang unter Druck setzen