استغلال iPhone في كورونا يستهدف محافظ العملات المشفرة، يحذر الباحثون الأمنيون

ملخص سريع

كشف باحثو الأمن السيبراني عن مجموعة استغلال كورونا، وهي أداة اختراق متطورة تستهدف أجهزة iPhone التي تعمل بنظام iOS 13–17.2.1 لسرقة بيانات محافظ العملات الرقمية من خلال استغلال ثغرات أمنية متعددة من نوع zero-day.

اكتشف باحثو الأمن السيبراني أداة اختراق قوية يمكنها تجاوز نظام أمان أجهزة iPhone وسرقة العملات الرقمية من محفظة المستخدم. تسمى أداة الاستغلال كورونا، وتستغل عدة ثغرات في نظام التشغيل الخاص بأجهزة أبل، وقد تم استخدامها بالفعل في أنشطة تجسس وأنشطة إجرامية ذات دوافع مالية.

اكتشف باحثو مجموعة تهديدات جوجل أن إطار عمل كورونا يحتوي على 23 استغلالًا مختلفًا مدمجًا في عدة سلاسل هجمات تتيح للمهاجمين استهداف الأجهزة التي تستخدم إصدارات أقدم من برامج أبل. بعد الانتشار، يقوم البرنامج الضار بمسح الأجهزة للبحث عن بيانات حساسة، مثل بيانات محافظ العملات الرقمية وبيانات البنوك.

تؤكد النتائج على تزايد المخاطر التي تواجه مستهلكي العملات الرقمية الذين يستخدمون المحافظ على الهواتف المحمولة لتخزين الأصول الرقمية. مع تزايد شعبية التداول عبر الهواتف والتطبيقات اللامركزية، بدأ المهاجمون في استهداف الهواتف الذكية كنقطة وصول للأموال الرقمية من خلالها.

أداة متطورة مع مسارات هجوم متعددة

تُعتبر مجموعة استغلال كورونا واحدة من أكثر هياكل الهجوم على iPhone تطورًا تم الإبلاغ عنها علنًا. يشير خبراء الأمن إلى أن الأداة يمكنها استهداف أجهزة تعمل بإصدارات من نظام أبل، بما في ذلك iOS 13 حتى iOS 17.2.1، والذي ينطبق على أجهزة iPhone الصادرة بين 2019 ونهاية 2023.

بدلاً من وجود ثغرة واحدة، تجمع كورونا بين 23 استغلالًا مختلفًا في 5 سلاسل هجوم كاملة، مما يسمح لها بتجاوز عدة مستويات من الحماية الأمنية في أبل.

لا يتطلب الهجوم، في كثير من الحالات، أي نوع من التفاعل، حيث يقتصر على زيارة موقع ضار. بعد تحميل الصفحة المخترقة على جهاز ضعيف، يتم تنفيذ رمز الاستغلال المخفي تلقائيًا، مما يمكن المهاجم من السيطرة على الهاتف وتثبيت برامج ضارة.

يبدأ بتحديد نوع طراز iPhone ونظام التشغيل المستخدم، ثم يختار سلسلة الاستغلال المناسبة لاختراق التدابير الأمنية وتثبيت البرامج الضارة.

محافظ العملات الرقمية تصبح هدفًا رئيسيًا

بمجرد اختراق الجهاز، يهدف البرنامج الضار إلى سرقة البيانات القيمة، خاصة بيانات اعتماد العملات الرقمية. وفقًا للمحققين، يقوم البرنامج بفحص الرسائل والملاحظات وبيانات التطبيقات للبحث عن كلمات مفتاحية تعتمد على عبارات استرداد العملات الرقمية.

يبحث البرنامج بشكل خاص عن كلمات مثل عبارة التذكير، وعبارة النسخ الاحتياطي، وحساب البنك، والتي غالبًا ما تكون مرتبطة ببرامج استرداد المحافظ. عند اكتشاف مثل هذه العبارات، يمكن للمهاجمين استخدامها لاستعادة محفظة الضحية على جهاز آخر والوصول الكامل للأموال.

يشير الباحثون إلى أن مجموعة الاستغلال تستهدف العديد من تطبيقات المحافظ اللامركزية الشهيرة، مثل المنصات التي تربط المستخدمين ببروتوكولات التمويل اللامركزي ومنصات التداول.

وتفيد التقارير أن ما لا يقل عن 18 تطبيقًا للعملات الرقمية يدعم هذا النوع من استخراج البيانات عند تثبيته على الأجهزة المخترقة. بعد جمع البيانات الحساسة، ينقلها البرنامج إلى خوادم تحكم عن بعد يسيطر عليها المهاجمون، بحيث يمكنهم تفريغ محافظ الضحايا خلال وقت قصير.

من أداة تجسس إلى سلاح إجرامي

واحدة من أكثر القضايا إثارة للقلق بشأن مجموعة استغلال كورونا هي كيفية انتشارها بين الجهات المهددة المختلفة. وفقًا للمحققين، تم رصد الإطار لأول مرة في عام 2025 كجزء من أنشطة مراقبة موجهة مرتبطة بعميل لبرمجية تجسس تجارية.

وفي نفس العام، استُخدمت نفس بنية الاستغلال في هجمات “watering hole” على مواقع أوكرانية، بتنفيذ من مجموعة جواسيس روسية مزعومة.

بحلول عام 2025، ظهرت أدوات الاستغلال مرة أخرى في عمليات تركز على التمويل من قبل منظمات إجرامية، مع مواقع وهمية للعملات الرقمية والمقامرة.

يفترض خبراء الأمن أن المهاجمين قاموا بتثبيت مجموعة الاستغلال على مئات المواقع الوهمية، حيث تم إصابة عشرات الآلاف من الأجهزة، وسُرقت معلومات المستخدمين حول محافظ العملات الرقمية. يظهر تطور أدوات الاستغلال كيف يمكن لأفضل تقنيات التجسس الإلكتروني أن تصل أخيرًا إلى باقي منظومة الجريمة.

سوق متنامي لاستغلال الثغرات zero-day

يشير محللو الأمن إلى أن كورونا تعكس اتجاهًا أكبر في قطاع الأمن السيبراني، وهو تطوير سوق سوداء لآلات الاختراق المتقدمة.

تُبنى أُطُر استغلال أكثر تطورًا من قبل الحكومات لمراقبة مواطنيها أو جمع المعلومات الاستخبارية، وأحيانًا تصل إلى أيدي بائعين مستقلين أو أسواق سوداء، وتنتهي في أيدي المجرمين الإلكترونيين.

وقد أُبلغ مؤخرًا أن كورونا يمكن مقارنته بمبادرات المراقبة عالية المستوى السابقة على أجهزة أبل، مثل عملية Triangulation، التي استغلت ثغرات غير معلنة حتى الآن لاختراق أجهزة أبل.

ويُعد انتقال هذه الأدوات من مجال التجسس إلى الجريمة المالية مصدر قلق، خاصة أن الثغرات المتقدمة يمكن أن تصل إلى الأسواق السوداء بسرعة كبيرة.

أجهزة أبل ليست محصنة ضد الهجمات واسعة النطاق

على مر السنين، اعتُبر نظام أبل المحمول أكثر أمانًا مقارنة بمعظم الأنظمة المنافسة، بسبب بيئة التطبيقات المقيدة ونظام الأجهزة والبرامج المغلق.

ومع ذلك، تظهر حالات مثل كورونا أن أنظمة الأمان الأكثر تطورًا قد تتعرض للاختراق إذا تمكن المهاجمون من الوصول إلى أكثر من ثغرة zero-day واحدة.

تصميم مجموعة الاستغلال يثير قلق خبراء الأمن، لأنه يتيح استغلالًا جماعيًا وليس استهدافًا محددًا. فموقع ضار واحد يمكن أن يصيب أي جهاز ضعيف يزور الموقع.

ويُعد هذا الأمر خطيرًا بشكل خاص لمن يستخدمون العملات الرقمية ويعتمدون على التطبيقات اللامركزية أو صفحات المطالبة بالرموز أو مقدمي خدمات التداول من طرف ثالث، مع تزايد عمليات الاحتيال المرتبطة بالعملات الرقمية.

إجراءات الحماية ورد فعل أبل

لحسن الحظ، يشير الباحثون إلى أن إصدارات نظام التشغيل الأحدث من أبل قد عالجت الثغرات التي استغلها كورونا.

لا يُعتقد أن مجموعة الاستغلال تؤثر على مستخدمي أحدث إصدارات iOS. ونصحت فرق الأمان مستخدمي iPhone بترقية هواتفهم إلى أحدث إصدار من iOS فورًا. حيث تم القضاء على الثغرات التي تسمح لكورونا بالوصول إلى النظام عند نقطة البداية من خلال التحديث.

لحماية أجهزتهم، يقترح الخبراء أيضًا تفعيل وضع الحماية، وهو خيار متوفر على أجهزة أبل، ويتيح للمستخدمين تجنب هجمات برامج التجسس المتقدمة في حال عدم القدرة على تحديث أجهزتهم. ووفقًا للباحثين، يتوقف كورونا تلقائيًا عن العمل إذا تم اكتشاف وضع الحماية على الجهاز.