Wady iOS wykorzystywane w atakach szpiegowskich i kradzieży kryptowalut: Nowe zagrożenia cyberbezpieczeństwa
CISA ostrzega przed wykorzystywaniem luk bezpieczeństwa iOS w atakach szpiegowskich i kradzieży kryptowalut, podczas gdy nowe techniki przeprowadzania ataków socjotechnicznych pojawiają się w sieci. Zagrożenia te obejmują zarówno zaawansowane zestawy eksploatacyjne, jak i ataki polegające na manipulacji użytkownikami do uruchamiania złośliwego oprogramowania.
Nowe zagrożenia dla urządzeń Apple
Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wzywa agencje federalne do natychmiastowego załatania trzech luk w zabezpieczeniach iOS, które są celem cyberprzestępców w atakach szpiegowskich i kradzieży kryptowalut. Jak podała grupa badawcza Google Threat Intelligence Group (GTIG), exploity związane z pakietem Coruna celują w 23 podatności iOS, z których wiele było wykorzystywanych w atakach typu zero-day.
Metody wykorzystywania luk przez atakujących
Zestaw eksploatacyjny Coruna umożliwia przestępcom ominięcie zabezpieczeń Pointer Authentication Code (PAC), ucieczkę z piaskownicy oraz obejście Page Protection Layer (PPL). Wyposażony jest również w możliwość uzyskiwania zdalnego wykonania kodu przez WebKit oraz eskalacji uprawnień do poziomu jądra na podatnych urządzeniach. GTIG zauważa, że Coruna była używana przez różnych aktorów zagrożeń, w tym przez grupę szpiegowską wspieraną przez Rosję i chińskich przestępców finansowych.
Technika InstallFix — nowe oszustwa socjotechniczne
Równocześnie rośnie popularność nowej techniki oszustwa socjotechnicznego nazwanej InstallFix, która wprowadza użytkowników w błąd, nakłaniając ich do uruchamiania złośliwych poleceń w przekonaniu, że instalują legalne narzędzia CLI. Badacze z Push Security odkryli, że fałszywe strony instalacyjne dla narzędzi takich jak Claude Code są wykorzystywane do promowania malwerów takich jak Amatera Stealer.
Nowe zagrożenia malware
Malware Amatera Stealer, rozprowadzany przy użyciu techniki InstallFix, jest zaprojektowany do kradzieży danych, takich jak portfele kryptowalutowe i dane logowania z zaatakowanych systemów. Technika ta wykorzystywana jest poprzez promowanie na reklamach Google, powodując pojawianie się złośliwych wyników wyszukiwania, które kierują użytkowników do fałszywych stron.
Środki zapobiegawcze i rekomendacje
CISA podkreśla znaczenie natychmiastowego łatania wykrytych luk bezpieczeństwa i zaleca organizacjom z sektora prywatnego, aby również priorytetowo traktowały te działania. Użytkownikom zaleca się korzystanie z oficjalnych źródeł do pobierania i instalacji oprogramowania oraz unikanie kliknięć w promowane wyniki wyszukiwań bez dokładnej weryfikacji źródła.
Wnioski
Wzrost zaawansowanych technologicznie zagrożeń, kierowanych zarówno do organizacji państwowych, jak i komercyjnych, wymaga zwiększenia czujności i adaptacji nowych praktyk bezpieczeństwa. Ataki typu InstallFix oraz wykorzystanie zestawów eksploatacyjnych, takich jak Coruna, wskazują na rosnącą potrzebę nieustannego monitorowania i aktualizowania zabezpieczeń w celu ochrony wartościowych danych i zasobów.