Le 5 mars, le groupe d’intelligence des menaces de Google (GTIG) a publié un rapport de sécurité révélant que des chercheurs avaient découvert un nouvel outil d’exploitation de vulnérabilités iPhone nommé « Coruna », utilisé pour voler des phrases mnémoniques de portefeuilles de cryptomonnaies et des informations financières. Cet outil cible les appareils fonctionnant sous iOS 13.0 à 17.2.1, en lançant des attaques ciblées via plusieurs chaînes d’exploitation de vulnérabilités, ce qui a suscité une grande attention dans le domaine de la sécurité mobile.
Le rapport indique que « Coruna » comprend cinq chaînes complètes d’exploitation de vulnérabilités iOS, impliquant au total 23 failles de sécurité, dont certaines n’ont jamais été rendues publiques auparavant. Les chercheurs de Google ont déclaré avoir identifié pour la première fois cette activité malveillante en février 2025, et ont découvert que l’outil avait initialement été utilisé par une organisation d’espionnage russe pour cibler des utilisateurs ukrainiens, avant d’être détourné pour falsifier des sites web liés aux finances et aux actifs cryptographiques, incitant les utilisateurs à y accéder pour voler leurs informations.
Les méthodes d’attaque reposent principalement sur la diffusion de code vulnérable via des pages web malveillantes. Lorsqu’un utilisateur d’iPhone visite un site spécifique, le cadre JavaScript de la page procède à une empreinte du dispositif, puis, après avoir confirmé la version du système, charge le programme d’exploitation correspondant. Les chercheurs ont trouvé le même cadre sur plusieurs sites ukrainiens compromis, en notant que le système ne ciblait que certains appareils iPhone dans des régions spécifiques.
En décembre 2025, l’équipe de recherche a également détecté le même cadre dans un grand nombre de faux sites web chinois liés aux services financiers, y compris des pages imitant des plateformes de cryptomonnaies. Lorsqu’un victime accède à ces sites via un appareil iOS, l’outil d’attaque scanne les informations sensibles du dispositif, telles que des textes contenant des phrases mnémoniques, des phrases de sauvegarde ou des références à des comptes bancaires, tout en tentant de lire les données des applications de portefeuille cryptographique courantes, afin d’obtenir le contrôle des actifs numériques.
Google souligne que cet outil d’exploitation ne peut actuellement pas fonctionner sur la dernière version d’iOS, et recommande aux utilisateurs d’iPhone de mettre rapidement à jour leur système. Si la mise à jour n’est pas possible, il est conseillé d’activer le « mode verrouillage » fourni par Apple pour se protéger contre des attaques complexes.
Par ailleurs, la discussion autour de l’origine de « Coruna » a également suscité des controverses. Rocky Cole, cofondateur de la société de sécurité mobile iVerify, a déclaré dans une interview que cet outil était extrêmement sophistiqué, avec un coût de développement pouvant atteindre plusieurs millions de dollars, et comportait certains modules similaires à ceux utilisés par des outils du gouvernement américain. Cependant, des experts de l’institut de recherche en sécurité Kaspersky ont indiqué qu’il n’existe actuellement aucune preuve suffisante pour établir un lien direct entre ce code et des outils connus.
Les experts en sécurité rappellent que les utilisateurs de cryptomonnaies doivent rester vigilants face aux pages de phishing lorsqu’ils utilisent leur portefeuille mobile ou visitent des sites liés, et qu’il est crucial de mettre à jour rapidement leur système pour réduire les risques de fuite de phrases mnémoniques et de vol d’actifs numériques.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
L’exploitation du protocole Scallop vide 150 000 jetons SUI le 28 avril
D’après la Sui Foundation et les développeurs de Scallop, le protocole de prêt Scallop sur le réseau Sui a subi une faille de sécurité ciblée le 28 avril 2026, entraînant le drainage non autorisé d’environ 150 000 jetons SUI depuis un pool de liquidité de récompenses, d’une valeur d’environ 140 000 dollars.
GateNewsIl y a 37m
Les piratages DeFi atteignent 624,58 millions de dollars en avril 2026, la sixième plus grosse perte jamais enregistrée avec le plus grand nombre d’incidents
D’après DefiLlama, les piratages dans la DeFi et l’infrastructure on-chain ont entraîné 624,58 millions de dollars de pertes en avril 2026, soit la sixième plus importante perte mensuelle enregistrée. Les 23 incidents recensés ce mois-là représentent aussi le plus grand nombre d’attaques en un seul mois depuis le début du suivi en
GateNewsIl y a 48m
L’exploit de SWEAT Protocol a été contenu, les soldes des utilisateurs ont été rétablis
Le protocole SWEAT a réussi à contenir une exploitation d’une valeur de plusieurs millions de dollars mercredi vers 13 h 36 UTC, l’équipe confirmant que tous les soldes des comptes externes ont été entièrement rétablis et que les opérations sont revenues à la normale, d’après un récapitulatif post-attaque publié par l’équipe SWEAT sur
CryptoFrontierIl y a 1h
Alerte Mist : la vulnérabilité « Linux Copy Fail » est extrêmement facile à exploiter, et il est recommandé de mettre à niveau le noyau le plus rapidement possible
Selon le RSSI en chef de SlowMist, @23pds, qui a publié sur X le 30 avril, une faille logique nommée « Copy Fail » (CVE-2026-31431) a été détectée dans les systèmes Linux. Elle est extrêmement facile à exploiter et SlowMist recommande aux utilisateurs de mettre rapidement à niveau le noyau.
MarketWhisperIl y a 3h
Après l’attaque, Aftermath Finance subit une perte de 1,14 million, Mysten Labs s’engage à rembourser intégralement les utilisateurs
D’après l’analyse technique de l’incident publiée par GoPlus le 30 avril et la déclaration officielle d’Aftermath Finance, la plateforme de contrats à terme perpétuels sur la chaîne Sui Aftermath Finance a été attaquée le 29 avril, avec des pertes dépassant 1,14 million de dollars. Le projet a annoncé que, avec le soutien de Mysten Labs et de la Sui Foundation, tous les utilisateurs seront intégralement indemnisés.
MarketWhisperIl y a 4h
Aftermath Finance perd plus de 1,14 M$ dans une attaque le 29 avril, promet une indemnisation intégrale des utilisateurs
Selon PANews, Aftermath Finance, une plateforme de futures perpétuels sur la blockchain Sui, a perdu plus de 1,14 million de dollars lors d’une attaque le 29 avril. L’analyse de GoPlus a révélé que les attaquants ont exploité une vulnérabilité de non-correspondance de symbole dans la fonction calculate_taker_fees en volant des privilèges ADMIN via la fonction add_integrator_config afin d’extraire à répétition des tokens via le vol.
GateNewsIl y a 5h
