Apple ekosistemini sarsan Coruna adlı saldırı aracı henüz yeni deşifre edilmiş olsa da, aslında ilk kullanımı ve karanlık kökleri daha öncesine uzanıyor. Başlangıçta sadece özel hedeflere yönelik bir casusluk kiti olarak sahaya sürülen bu yazılım, zamanla el değiştirerek milyonlarca kullanıcının cihazını tehlikeye atan kitlesel bir tehdit hâlini aldı. İşte detaylar…
Hacker News’e göre Kaspersky araştırmacıları, Coruna‘nın tam teşekküllü bir saldırı paketi olduğunu ortaya çıkardı. Bu yazılım 2023 yılında siber dünyada büyük yankı uyandıran ‘Operation Triangulation’ saldırılarının doğrudan bir uzantısı olarak faaliyet gösteriyor. Sistem eski açıklarla yetinmeyip kendini sürekli güncelliyor.
Apple A17 ve M3 işlemcileri de çoktan menzile girmiş durumda. Çok sayıda zararlı yazılımı tek çatı altında toplayan Coruna’nın kod yapısında ‘Kernel Exploit’ (İşletim sisteminin en temel katmanına sızıp cihazın kontrolünü ele geçiren bir tür güvenlik zafiyeti) kullanılıyor. Böylelikle iOS 13 ile 17.2.1 arasındaki sürümlerin yüklü olduğu iPhone’lar açık birer hedefe dönüştü.
Coruna’nın yayılma şeklinden de bahsedelim. Kötü niyetli kişiler, sahte bahis ve kripto para siteleri üzerinden geniş çaplı bir operasyon yürütüyor. Kurbanlar tuzak sitelere Safari üzerinden girdiklerinde arka planda çarklar dönmeye başlıyor. Coruna cihazın işletim sistemi sürümünü sessizce analiz edip en uygun saldırı yöntemini seçiyor. Ardından ‘PlasmaLoader’ adı verilen, kullanıcı verilerini hortumlayan zararlı bir yazılımı telefona bulaştırıyor.
Kaspersky güvenlik uzmanlarından Boris Larin, “Başlangıçta hassas bir casusluk aracı olan Coruna artık ayrım gözetmeksizin kullanılıyor” diyerek tehlikenin boyutunu vurguladı. İşin merkezinde 23 farklı güvenlik açığı ve 5 farklı zincirleme saldırı taktiği yer alıyor. Saldırı başarıya ulaştığında ise yazılım kendi izlerini titizlikle temizleyerek bir hayalet gibi ortadan kayboluyor.
