Исследователи Google выявили набор уязвимостей для взлома iPhone, который на протяжении нескольких лет использовался различными хакерами. Инструментарий получил внутреннее название Coruna и, по данным специалистов, применялся как в операциях слежки, так и в последующих финансово мотивированных атаках.
Аналитики подразделения Google Threat Intelligence Group обнаружили в наборе пять полноценных цепочек эксплуатации и 23 отдельных уязвимости операционной системы iOS. Эксплойты позволяют атаковать устройства с версиями системы от iOS 13 до iOS 17.2.1. Некоторые методы обхода защитных механизмов ранее не публиковались и позволяют обходить встроенные технологии безопасности платформы.
По оценке экспертов, история Coruna свидетельствует о постепенном распространении сложных инструментов взлома между различными группами. Впервые часть инфраструктуры атаки была перехвачена в феврале 2025 года. Тогда код использовался клиентом коммерческой компании, занимающейся разработкой систем цифрового наблюдения. Эксплойт был реализован через сложный JavaScript-фреймворк, который собирал информацию об устройстве пользователя, включая модель iPhone и версию операционной системы, а затем подбирал подходящую уязвимость для браузерного движка WebKit и обхода механизма защиты Pointer Authentication Code.
Одна из цепочек использовала уязвимость CVE-2024-23222, которую Apple закрыла в январе 2024 года с выпуском обновления iOS 17.3.
Летом 2025 года тот же набор инструментов был обнаружен в другой кампании.
Злоумышленники внедрили вредоносный код на десятки взломанных сайтов на Украине, включая ресурсы магазинов и сервисных компаний. Вредоносные страницы загружали скрытый фрейм, который доставлял эксплойты только выбранным пользователям iPhone из определенных регионов.К концу 2025 года Coruna снова заметили в сети, но уже в рамках мошеннической схемы. Тогда вредоносный код распространялся через сотни поддельных китайских сайтов, связанных с финансовыми сервисами и криптовалютами. Страницы убеждали пользователей открывать их именно на iPhone, после чего запускали скрытый фрейм с эксплойтами.
Анализ кода показал, что после получения доступа к устройству запускается загрузчик PlasmaLoader, внедряющийся в системный процесс powerd с административными правами. Далее вредоносные модули ищут на устройстве данные, связанные с финансовыми сервисами и криптовалютами, включая изображения с QR-кодами, а также фразы восстановления криптокошельков стандарта BIP39. Если такие данные обнаруживаются, они передаются на сервер управления.
Кроме того, вредоносная программа может загружать дополнительные модули для перехвата работы популярных криптокошельков, включая MetaMask, Trust Wallet, Exodus и Phantom. В журналах работы модулей обнаружены комментарии на китайском языке, что может указывать на происхождение операторов атак.
По оценке Google, эволюция Coruna демонстрирует существование теневого рынка эксплойтов, где дорогостоящие уязвимости могут перепродаваться между различными группами: от операторов кибершпионажа до финансовых мошенников.
На последних версиях iOS набор уязвимостей уже не работает. Эксперты рекомендуют пользователям устанавливать актуальные обновления системы, а при невозможности обновления активировать режим повышенной защиты Lockdown Mode, который существенно ограничивает возможности атак.
Свежие комментарии