Автор Chao Cheng Zedong тема Новости

Google обнаружил новый мощный набор уязвимостей для взлома iPhone ради кражи криптоданных

Google обнаружил новый мощный набор уязвимостей для взлома iPhone ради кражи криптоданных

Исследователи угроз из Google сообщили, что выявили новый набор эксплойтов для iPhone, который используется для кражи seed-фраз криптокошельков.

По данным Google Threat Intelligence Group (GTIG), инструмент, который разработчики называют Coruna, нацелен на устройства с iOS от версии 13.0 до 17.2.1. В набор входят пять полноценных цепочек атак для iOS и 23 эксплойта, включая ранее неизвестные широкой публике.

В GTIG уточнили, что впервые обнаружили Coruna в феврале 2025 года и затем отслеживали его применение: сначала предположительно российской разведгруппой против пользователей в Украине, а позже — на поддельных китайских криптосайтах, созданных для хищения средств.

В Google отметили, что набор не работает на самой новой версии iOS, и рекомендовали владельцам iPhone обновиться. Если обновление недоступно, пользователям советуют включить режим Lockdown Mode, который, по заявлению Apple, помогает противостоять сложным целевым атакам.

Кража криптоданных через фейковые сайты

По информации GTIG, в феврале 2025 года специалисты нашли фрагменты iOS-эксплойта, где клиент одной из компаний, работающих на рынке слежки, применял JavaScript для определения характеристик устройства и доставки подходящей уязвимости.

Позже в том же году аналогичный JavaScript-фреймворк обнаружили на нескольких взломанных украинских сайтах — он показывался только выбранным пользователям iPhone из определенной геолокации.

Источник: Mandiant

В декабре GTIG выявила тот же фреймворк на большом числе поддельных китайских сайтов, в основном связанных с финансами; среди них был ресурс, имитировавший криптобиржу WEEX.

Когда пользователь открывает такие страницы с iOS-устройства, фреймворк доставляет эксплойт-кит, после чего тот пытается найти финансовые данные: анализирует тексты с seed-фразами и ищет ключевые слова вроде “backup phrase” и “bank account”.

Также Coruna, как утверждается, проверяет наличие популярных криптоприложений, включая Uniswap и MetaMask, чтобы извлекать криптоактивы или другую чувствительную информацию.

Споры о возможном происхождении Coruna

GTIG не раскрыла, кто именно был клиентом компании по слежке, откуда мог возникнуть этот инструментарий. При этом компания iVerify сообщила WIRED, что Coruna могла быть создана или приобретена правительством США. Сооснователь iVerify Рокки Коул заявил, что инструмент крайне сложный, мог стоить миллионы долларов в разработке и напоминает модули, которые ранее публично связывали с США.

В iVerify также предположили, что это первый замеченный ими случай, когда вероятные инструменты, связанные с США, вышли из-под контроля и начали использоваться как противниками, так и киберпреступными группами.

Однако ведущий исследователь Kaspersky сообщил The Register, что компания не видит доказательств реального заимствования кода в опубликованных материалах, которые позволяли бы приписать Coruna тем же авторам.

Источник: Google Threat Intelligence Group (GTIG)