MalwareSchwachstellenHackerangriffe

Coruna: Das iOS-Spyware-Framework wird zur Universalwaffe für Cyberkriminelle

Coruna: Das iOS-Spyware-Framework wird zur Universalwaffe für Cyberkriminelle
Zusammenfassung

Das Coruna-Exploit-Framework stellt eine erhebliche Bedrohung für iPhone-Nutzer weltweit dar, da es sich um eine weiterentwickelte Variante des berüchtigten Operation-Triangulation-Tools handelt, das bereits 2023 zur Spionage eingesetzt wurde. Das von Kaspersky-Forschern entdeckte Kit zielt auf moderne Apple-Hardware ab, insbesondere auf iPhones mit A17- und M3-Chips sowie iOS-Versionen bis 17.2, und enthält fünf vollständige Exploit-Ketten mit 23 Sicherheitslücken. Besonders beunruhigend ist die Eskalation: Während Operation Triangulation ein präzisions-gesteuertes Spionage-Instrument war, wird Coruna inzwischen auch für finanziell motivierte Cyberangriffe missbraucht, insbesondere zum Diebstahl von Kryptowährungen durch gefälschte Austausch-Plattformen. Für deutsche Nutzer und Unternehmen bedeutet dies ein signifikantes Risiko, da die Zero-Click-Exploits über iMessage funktionieren und keine Benutzerinteraktion erfordern. Der Angriff beginnt unauffällig im Safari-Browser und installiert letztlich Spyware auf den Geräten. Besonders kritisch ist, dass mit der jüngsten Veröffentlichung des ähnlich gefährlichen DarkSword-Frameworks die Gefahr weiter steigt, dass Cyberkriminelle diese Tools massenweise gegen ungepatche iPhones einsetzen. Apple hat Sicherheits-Updates veröffentlicht, doch viele Nutzer installieren diese nicht zeitnah.

Die Entdeckung von Coruna durch Kaspersky-Forscher zeigt eine beunruhigende Entwicklung in der iOS-Sicherheitslandschaft. Das Exploit-Kit nutzt bekannte Schwachstellen wie CVE-2023-32434 und CVE-2023-38606, die bereits in der Operation Triangulation zum Einsatz kamen. Boris Larin, Principal Security Researcher bei Kasperskys Global Research and Analysis Team, macht deutlich: “Coruna ist nicht einfach eine Sammlung öffentlich bekannter Exploits, sondern eine kontinuierlich gepflegte Weiterentwicklung des ursprünglichen Operation-Triangulation-Frameworks.”

Die technische Funktionsweise von Coruna offenbart eine ausgefeilte Architektur. Der Angriff beginnt typischerweise in Safari mit einem sogenannten Stager, der das Zielgerät charakterisiert und geeignete Exploits auswählt. Anschließend werden verschlüsselte Komponenten heruntergeladen, mit ChaCha20 entschlüsselt und mit LZMA dekomprimiert. Das System wählt dann automatisch den passenden Kernel-Exploit basierend auf Gerätearchitektur und iOS-Version aus.

Besonders bemerkenswert ist die umfassende Hardwareunterstützung: Coruna erkennt ARM64- und ARM64E-Architekturen und enthält explizite Überprüfungen für A17-, M3-, M3 Pro- und M3 Max-Chips. Dies demonstriert, dass die Entwickler kontinuierlich an der Anpassung an neuere Hardware arbeiten.

Was die Situation verschärft: Während Operation Triangulation 2019 begann und erst 2023 von Kaspersky entdeckt wurde, wird Coruna bereits von mehreren Threat-Akteuren eingesetzt – nicht mehr nur für Spionage, sondern auch für finanziell motivierte Anschläge. Larin warnt: “Was als hochpräzises Spionage-Werkzeug begann, wird nun unterschiedslos eingesetzt.”

Apple hat reagiert und Sicherheitsupdates für alle betroffenen iOS-Versionen bereitgestellt. Parallel wurde auch das DarkSword-Exploit-Kit bekannt, das Sicherheitsforscher von Lookout, iVerify und Google aufdeckten. Das größere Problem: DarkSword ist inzwischen öffentlich verfügbar, was das Missbrauchsrisiko erheblich erhöht.

Für deutsche Nutzer und Unternehmen gilt: Regelmäßige Sicherheitsupdates sind nicht optional, sondern essentiell. Die CISA hat bereits Bundebehörden angewiesen, alle iOS-Schwachstellen zu patchen. Wer sein iPhone oder iPad nicht aktuell hält, riskiert nicht nur Spionage, sondern auch Kryptowährungsraub.

Ähnliche Artikel