Дослідники загроз із Google кажуть, що вони виявили новий набір експлойтів, націлений на користувачів Apple iPhone, спрямований на крадіжку початкових фраз гаманця криптовалюти.
Набір, який розробники назвали «Coruna», націлений на iPhone з iOS версій від 13.0 до 17.2.1. Він містить «п’ять повних ланцюжків експлойтів iOS і загалом 23 експлойти», включаючи ті, які раніше були невідомі громадськості, повідомляє Google Threat Intelligence Group (GTIG) у звіті в середу.
Група заявила, що вперше виявила набір у лютому 2025 року і з тих пір відстежувала його використання підозрюваною російською шпигунською групою проти українців, а згодом і на підроблених китайських криптовалютних веб-сайтах, які спрямовані на крадіжку криптовалюти.
GTIG заявив, що набір не працює з останньою версією iOS, і закликав користувачів iPhone оновити свої пристрої до останньої версії програмного забезпечення. Якщо це неможливо, користувачі повинні перевести телефон у «Режим блокування», який, за словами Apple, може протистояти складним атакам.
Kit націлений на криптовалюту через підроблені веб-сайти
GTIG повідомила, що в лютому 2025 року натрапила на частини експлойту iOS, коли клієнт компанії зі спостереження використовував JavaScript для відбитків пальців пристрою, щоб запустити відповідний експлойт.
Пізніше того ж року він виявив той самий фреймворк JavaScript, прихований на кількох скомпрометованих українських веб-сайтах, який «доставлявся лише вибраним користувачам iPhone із певного геолокації».
GTIG повідомила, що потім знайшла той самий фреймворк у грудні «на дуже великій кількості підроблених китайських веб-сайтів, переважно пов’язаних із фінансами», включно з тим, який підробляв біржу криптовалют WEEX.
Коли користувач отримує доступ до веб-сайтів за допомогою пристрою iOS, фреймворк надає набір експлойтів і шукає фінансову інформацію, зокрема аналізує тексти, що містять вихідні фрази та ключові слова, такі як «резервна фраза» або «банківський рахунок».
Набір також шукає популярні додатки для криптовалют, зокрема Uniswap і MetaMask, для вилучення криптовалюти або конфіденційної інформації.
Походження Коруньї в американській розвідці обговорюється
GTIG не назвав ім’я клієнта компанії спостереження, від якої, як кажуть, походить набір експлойтів, але компанія мобільної безпеки iVerify повідомила WIRED, що він міг бути створений або куплений урядом США.
«Він дуже складний, на його розробку були витрачені мільйони доларів, і він має ознаки інших модулів, які публічно приписуються уряду США», — сказав WIRED співзасновник iVerify Рокі Коул.
«Це перший приклад, який ми бачили, коли урядові інструменти США — виходячи з того, що говорить нам код — виходять з-під контролю та використовуються як нашими противниками, так і групами кіберзлочинців».
Однак головний дослідник безпеки Kaspersky сказав The Register, що компанія з кібербезпеки не побачила «жодних доказів фактичного повторного використання коду в опублікованих звітах, щоб підтвердити приписування Coruna тим самим авторам».
