{"id":2252,"date":"2026-03-06T09:45:39","date_gmt":"2026-03-06T09:45:39","guid":{"rendered":"https:\/\/www.coinspeaker.com\/it\/?p=2252"},"modified":"2026-03-06T08:39:46","modified_gmt":"2026-03-06T08:39:46","slug":"iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna","status":"publish","type":"post","link":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/","title":{"rendered":"iPhone Crypto Exploit Kit: Google avverte sul furto delle seed phrase tramite \u2018Coruna\u2019"},"content":{"rendered":"<p><a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/coruna-powerful-ios-exploit-kit\" target=\"_blank\" rel=\"nofollow\">Google Threat Analysis Group (TAG)<\/a> ha identificato \u2018Coruna\u2019, un sofisticato kit di exploit crypto per iPhone che \u00e8 migrato dallo spionaggio sponsorizzato dagli stati al furto finanziario di massa rivolto ai wallet. Il toolkit, che sfrutta ben 23 vulnerabilit\u00e0 nelle versioni di iOS da 13.0 a 17.2.1, \u00e8 attualmente utilizzato dai cybercriminali per sottrarre le seed phrase BIP39 agli utenti iPhone che visitano siti di gioco d\u2019azzardo compromessi e falsi exchange. Rappresenta una significativa escalation nelle minacce mobili, mettendo di fatto strumenti di sorveglianza di livello militare nelle mani di ladri che cercano di svuotare MetaMask e altri wallet gestiti.<\/p>\n<p>Questa scoperta rivela una tendenza preoccupante in cui exploit di alto livello, un tempo riservati alle agenzie di intelligence, vengono riutilizzati per attivit\u00e0 criminali su vasta scala. Apple ha risolto le specifiche vulnerabilit\u00e0 sfruttate da questo kit in iOS 17.3 e versioni successive, ma l\u2019elevato numero di dispositivi che eseguono software obsoleti crea un bersaglio redditizio. Gli utenti che visitano questi siti \u201cwatering hole\u201d sono vulnerabili a una compromissione immediata di tipo drive-by senza alcuna interazione.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"474\" data-dnt=\"true\">\n<p dir=\"ltr\" lang=\"en\">A few weeks ago, Apple announce that &#8220;iPhone and iPad [are] approved to handle *classified* NATO information&#8221; \ud83d\ude02<\/p>\n<p>Turns out even lowly cybercriminals were (ab)using 0days to hack Apple devices \ud83d\ude48<a href=\"https:\/\/t.co\/cECbR9QGRZ\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/t.co\/cECbR9QGRZ<\/a><\/p>\n<p>\u2014 Patrick Wardle (@patrickwardle) <a href=\"https:\/\/twitter.com\/patrickwardle\/status\/2028925404497822178?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener noreferrer\">March 3, 2026<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2>L\u2019exploit crypto su iPhone: come il kit Coruna colpisce gli utenti iPhone<\/h2>\n<p>La meccanica dell\u2019exploit Coruna rivela un livello di ingegneria solitamente riservato agli attori statali, non ai truffatori finanziari. Le potenziali vittime vengono attirate su siti web malevoli che si mascherano da servizi legittimi, spesso versioni contraffatte dell\u2019exchange WEEX o oscuri portali di gioco d\u2019azzardo, dove un framework JavaScript nascosto identifica il dispositivo del visitatore. Se lo script rileva un modello di iPhone vulnerabile, distribuisce silenziosamente un payload WebKit per l\u2019esecuzione di codice in remoto (RCE), bypassando le protezioni Pointer Authentication Code (PAC) di Apple per ottenere l\u2019accesso a livello di sistema.<\/p>\n<p>Una volta all\u2019interno del dispositivo, il malware non si preoccupa di tattiche ransomware; punta direttamente alle chiavi della cassaforte. Il kit avvia una scansione del file system, cercando specificamente i dati associati alle popolari app di self-custody, eseguendo un\u2019operazione di furto di seed phrase altamente mirata. Ricerca immagini salvate in cache di codici QR, note non crittografate contenenti stringhe di backup e contenitori di dati di applicazioni specifiche per wallet come MetaMask e BitKeep. I dati rubati includono l\u2019esfiltrazione delle frasi mnemoniche BIP39 da 12 a 24 parole che garantiscono il pieno controllo sui fondi dell\u2019utente, le quali vengono poi trasmesse a server di comando e controllo tramite canali crittografati.<\/p>\n<p>Vale la pena notare che questo processo avviene interamente in background. La catena di exploit include sofisticati bypass delle contromisure che gli consentono di operare senza causare il crash del browser o allertare l\u2019utente, rendendolo particolarmente letale per gli investitori che gestiscono portafogli di alto valore su dispositivi mobili. Il toolkit Coruna impiega anche tecniche di offuscamento uniche per nascondere il proprio traffico, complicando il rilevamento da parte dei normali filtri di sicurezza mobile.<\/p>\n<h2>La cronologia: cosa ha scoperto Google TAG<\/h2>\n<div id=\"attachment_426228\" class=\"wp-caption alignnone\" style=\"width: 1750px;\">\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-426228 size-full\" src=\"https:\/\/www.coinspeaker.com\/wp-content\/uploads\/2026\/03\/IMG_1640.jpeg\" alt=\"Iphone crypto exploit\" width=\"1740\" height=\"1072\" aria-describedby=\"caption-attachment-426228\" \/><\/p>\n<p id=\"caption-attachment-426228\" class=\"wp-caption-text\">Cronologia del kit di exploit Coruna iOS. Fonte: <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/coruna-powerful-ios-exploit-kit\" target=\"_blank\" rel=\"nofollow\">Google Cloud<\/a><\/p>\n<\/div>\n<p>L\u2019attribuzione di Google TAG punta a un mercato caotico di cyber-armi di \u201cseconda mano\u201d. Inizialmente tracciata da un fornitore di sorveglianza commerciale, l\u2019attuale ondata di attacchi finanziari \u00e8 attribuita a UNC6691, un attore di minacce motivato finanziariamente con sede in Cina. Questo gruppo sembra aver acquisito il kit di exploit completo dopo che era gi\u00e0 stato utilizzato da UNC6353, un sospetto gruppo di spionaggio russo che ha preso di mira le infrastrutture ucraine a met\u00e0 del 2025.<\/p>\n<p>Il passaggio dallo spionaggio al furto suggerisce che, una volta che una vulnerabilit\u00e0 zero-day entra in circolazione, la sua commercializzazione \u00e8 inevitabile. UNC6691 ha distribuito il kit su larga scala, passando dal targeting preciso dei predecessori russi a un approccio \u201ca strascico\u201d adatto a un exploit crypto per iPhone. Questa democratizzazione delle truffe avanzate complica significativamente il panorama della difesa, poich\u00e9 strumenti progettati per bypassare la sicurezza a livello governativo vengono ora puntati contro gli investitori crypto al dettaglio.<\/p>\n<p><strong>SCOPRI DI PI\u00d9: <a href=\"https:\/\/www.coinspeaker.com\/it\/guides\/nuove-criptovalute\/\" target=\"_blank\" rel=\"nofollow\">Migliori nuove criptovalute nel 2026<\/a><\/strong><\/p>\n<h2>Utenti iPhone che detengono crypto: siete a rischio?<\/h2>\n<p>Il profilo specifico della vittima per questa campagna \u00e8 sorprendentemente ristretto ma altamente vulnerabile: utenti iPhone che non hanno aggiornato i propri dispositivi oltre iOS 17.2.1 e che adottano comportamenti di navigazione ad alto rischio. Se utilizzate un dispositivo datato per fare trading su oscuri exchange decentralizzati o visitate siti di gioco d\u2019azzardo del mercato grigio, state essenzialmente camminando in un campo minato. Il passo difensivo pi\u00f9 critico \u00e8 l\u2019aggiornamento immediato all\u2019ultima versione di iOS, poich\u00e9 l\u2019exploit Coruna si basa su vulnerabilit\u00e0 che Apple ha gi\u00e0 corretto.<\/p>\n<p>Per gli utenti impossibilitati ad aggiornare il proprio hardware, l\u2019attivazione della modalit\u00e0 isolamento (Lockdown Mode) di Apple offre una solida difesa contro questa specifica vulnerabilit\u00e0 di iOS. Essa limita le tecnologie web complesse come la compilazione JavaScript Just-in-Time (JIT), su cui l\u2019exploit fa affidamento per eseguire il proprio codice. Inoltre, gli investitori seri dovrebbero trattare i propri dispositivi mobili come potenzialmente compromessi.<\/p>\n<p>Non conservate mai le seed phrase in screenshot o app di note, e considerate l\u2019uso di un hardware wallet che richieda una conferma fisica per le transazioni. \u00c8 semplice: se il vostro telefono pu\u00f2 essere compromesso visitando un sito web, il vostro hot wallet non \u00e8 sicuro; \u00e8 una cassetta delle offerte. Rimanete vigili.<\/p>\n<p><strong>SCOPRI: <a href=\"https:\/\/www.coinspeaker.com\/it\/guides\/criptovalute-che-esploderanno\/\" target=\"_blank\" rel=\"nofollow\">Qual \u00e8 la prossima criptovaluta che esploder\u00e0 nel 2026?<\/a><\/strong><\/p>\n<p><a target=\"_blank\" rel=\"noopener nofollow sponsored\" class=\"infinscroll_next_page_link\" style=\"display: none;\" href=\"https:\/\/www.coinspeaker.com\/shib-price-analysis-march-2026-resistance-levels\/\" rel=\"prev\">next<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google scopre il kit iOS &#8216;Coruna&#8217; che prende di mira i wallet crypto<\/p>\n","protected":false},"author":396,"featured_media":2251,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2252","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-notizie"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v25.7 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>iPhone Crypto Exploit Kit: Google avverte sul furto delle seed phrase tramite \u2018Coruna\u2019 - Coinspeaker Italia - News dal mondo crypto in italiano<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"iPhone Crypto Exploit Kit: Google avverte sul furto delle seed phrase tramite \u2018Coruna\u2019 - Coinspeaker Italia - News dal mondo crypto in italiano\" \/>\n<meta property=\"og:description\" content=\"Google scopre il kit iOS &#8216;Coruna&#8217; che prende di mira i wallet crypto\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/\" \/>\n<meta property=\"og:site_name\" content=\"Coinspeaker Italia - News dal mondo crypto in italiano\" \/>\n<meta property=\"article:published_time\" content=\"2026-03-06T09:45:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.coinspeaker.com\/it\/wp-content\/uploads\/sites\/10\/2026\/03\/featured-image-12.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1792\" \/>\n\t<meta property=\"og:image:height\" content=\"1024\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"aidom\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"aidom\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"6 minuti\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"iPhone Crypto Exploit Kit: Google avverte sul furto delle seed phrase tramite \u2018Coruna\u2019 - Coinspeaker Italia - News dal mondo crypto in italiano","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/","og_locale":"it_IT","og_type":"article","og_title":"iPhone Crypto Exploit Kit: Google avverte sul furto delle seed phrase tramite \u2018Coruna\u2019 - Coinspeaker Italia - News dal mondo crypto in italiano","og_description":"Google scopre il kit iOS &#8216;Coruna&#8217; che prende di mira i wallet crypto","og_url":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/","og_site_name":"Coinspeaker Italia - News dal mondo crypto in italiano","article_published_time":"2026-03-06T09:45:39+00:00","og_image":[{"width":1792,"height":1024,"url":"https:\/\/www.coinspeaker.com\/it\/wp-content\/uploads\/sites\/10\/2026\/03\/featured-image-12.webp","type":"image\/webp"}],"author":"aidom","twitter_card":"summary_large_image","twitter_misc":{"Written by":"aidom","Est. reading time":"6 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/","url":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/","name":"iPhone Crypto Exploit Kit: Google avverte sul furto delle seed phrase tramite \u2018Coruna\u2019 - Coinspeaker Italia - News dal mondo crypto in italiano","isPartOf":{"@id":"https:\/\/www.coinspeaker.com\/it\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/#primaryimage"},"image":{"@id":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/#primaryimage"},"thumbnailUrl":"https:\/\/www.coinspeaker.com\/it\/wp-content\/uploads\/sites\/10\/2026\/03\/featured-image-12.webp","datePublished":"2026-03-06T09:45:39+00:00","author":{"@id":"https:\/\/www.coinspeaker.com\/it\/#\/schema\/person\/9749c44b8bfa25843362c976c4fd422c"},"breadcrumb":{"@id":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/#primaryimage","url":"https:\/\/www.coinspeaker.com\/it\/wp-content\/uploads\/sites\/10\/2026\/03\/featured-image-12.webp","contentUrl":"https:\/\/www.coinspeaker.com\/it\/wp-content\/uploads\/sites\/10\/2026\/03\/featured-image-12.webp","width":1792,"height":1024},{"@type":"BreadcrumbList","@id":"https:\/\/www.coinspeaker.com\/it\/iphone-crypto-exploit-kit-google-avverte-sul-furto-delle-seed-phrase-tramite-coruna\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.coinspeaker.com\/it\/"},{"@type":"ListItem","position":2,"name":"iPhone Crypto Exploit Kit: Google avverte sul furto delle seed phrase tramite \u2018Coruna\u2019"}]},{"@type":"WebSite","@id":"https:\/\/www.coinspeaker.com\/it\/#website","url":"https:\/\/www.coinspeaker.com\/it\/","name":"Coinspeaker Italia - News dal mondo crypto in italiano","description":"Notizie su Bitcoin, Ethereum, Altcoin con analisi, prezzi in tempo reale, grafici e guide.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.coinspeaker.com\/it\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Person","@id":"https:\/\/www.coinspeaker.com\/it\/#\/schema\/person\/9749c44b8bfa25843362c976c4fd422c","name":"aidom","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.coinspeaker.com\/it\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/460682dce41cca5dc8a5176301e34c7a?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/460682dce41cca5dc8a5176301e34c7a?s=96&d=mm&r=g","caption":"aidom"},"url":"https:\/\/www.coinspeaker.com\/it\/author\/aidom\/"}]}},"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/posts\/2252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/users\/396"}],"replies":[{"embeddable":true,"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/comments?post=2252"}],"version-history":[{"count":2,"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/posts\/2252\/revisions"}],"predecessor-version":[{"id":2259,"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/posts\/2252\/revisions\/2259"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/media\/2251"}],"wp:attachment":[{"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/media?parent=2252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/categories?post=2252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.coinspeaker.com\/it\/wp-json\/wp\/v2\/tags?post=2252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}