Исследователи угроз из Google сообщают, что они обнаружили новый набор эксплойтов, нацеленный на пользователей Apple iPhone и нацеленный на кражу исходных фраз криптовалютного кошелька.
Комплект, названный разработчиками «Coruna», предназначен для iPhone под управлением iOS версий от 13.0 до 17.2.1. Он имеет «пять полных цепочек эксплойтов для iOS и в общей сложности 23 эксплойта», включая те, которые ранее были неизвестны публике, говорится в отчете Google Threat Intelligence Group (GTIG) в среду.
Группа заявила, что впервые обнаружила комплект в феврале 2025 года и с тех пор отслеживает его использование предполагаемой российской шпионской группой против украинцев, а затем на фейковых китайских криптовалютных сайтах, целью которых является украсть криптовалюту.
GTIG заявил, что комплект не работает с последней версией iOS, и призвал пользователей iPhone обновить свои устройства до последней версии программного обеспечения. Если это невозможно, пользователям следует перевести телефон в «режим блокировки», который, по словам Apple, может противостоять сложным атакам.
Кит нацелен на криптовалюту через поддельные веб-сайты
GTIG заявила, что столкнулась с частями эксплойта для iOS в феврале 2025 года, когда клиент компании, занимающейся наблюдением, использовал JavaScript для снятия отпечатков пальцев с устройства и доставки соответствующего эксплойта.
Позже в том же году он обнаружил одну и ту же структуру JavaScript, спрятанную на нескольких взломанных украинских веб-сайтах, которые «доставлялись только избранным пользователям iPhone из определенной географической точки».
GTIG заявила, что затем в декабре обнаружила ту же структуру «на очень большом наборе фейковых китайских веб-сайтов, в основном связанных с финансами», включая тот, который подделывал криптовалютную биржу WEEX.
Когда пользователь заходит на веб-сайты с помощью устройства iOS, платформа предоставляет набор эксплойтов и ищет финансовую информацию, включая анализ текстов, содержащих начальные фразы и ключевые слова, такие как «резервная фраза» или «банковский счет».
Комплект также ищет популярные криптовалютные приложения, включая Uniswap и MetaMask, для извлечения криптовалюты или конфиденциальной информации.
Споры о происхождении Коруньи в американской разведке
GTIG не назвала имя клиента компании по наблюдению, от которой, как утверждается, был создан комплект эксплойтов, но компания iVerify, занимающаяся мобильной безопасностью, сообщила WIRED, что его могло создать или купить правительство США.
«Он очень сложен, на его разработку ушли миллионы долларов, и он имеет отличительные черты других модулей, которые публично приписывались правительству США», — сказал WIRED соучредитель iVerify Рокки Коул.
«Это первый пример того, как мы видим, что весьма вероятные инструменты правительства США — судя по тому, что нам говорит кодекс — выходят из-под контроля и используются как нашими противниками, так и киберпреступными группировками».
Однако главный исследователь безопасности «Лаборатории Касперского» сообщил The Register, что компания, занимающаяся кибербезопасностью, «не увидела в опубликованных отчетах никаких доказательств фактического повторного использования кода, подтверждающих приписывание Coruna одним и тем же авторам».
