Фахівці Google ідентифікували хакерський набір Coruna, здатний непомітно зламувати iPhone та здійснювати крадіжку криптовалютних активів через популярні додатки-гаманці, зокрема MetaMask, Phantom і Trust Wallet.
Для реалізації атаки не потрібно жодних дій з боку користувача – достатньо лише відвідати скомпрометований або фішинговий вебресурс на незахищеному (невиправленому) iPhone, після чого відбувається інфікування пристрою.
Чому це є суттєвим:
- Пристрої із встановленою iOS 17.2.1 або більш ранні версії залишаються вразливими; всі виявлені експлуатаційні недоліки Apple закрила лише у версії iOS 17.3, випущеній у січні 2024 року.
- Шкідливе ПЗ здійснює пошук криптовалютних seed-фраз (посівних фраз) у нотатках і повідомленнях, а також ключових слів на кшталт «backup phrase». Це надає зловмисникам повний контроль над гаманцем без необхідності вводити пароль.
- Атаці піддаються 18 криптовалютних застосунків, зокрема MetaMask, Phantom, Exodus, Trust Wallet та Uniswap, що прямо наражає власників на ризик втрати цифрових активів.
Деталізація:
- За даними GTIG, було ідентифіковано повний хакерський набір на сотнях фіктивних фінансових і біржових платформ, включно з підробленою біржею WEEX.
- Підозрювана російська шпигунська група влітку 2025 року використовувала цей інструментарій для атак на власників iPhone в Україні через вразливості локальних комерційних сайтів.
- Згодом, група з Китаю з фінансовими мотивами розгорнула Coruna масово через шахрайські інтернет-ресурси, що дозволило Google вилучити повний комплект експлойтів і надати йому назву Coruna.
- Активація режиму Lockdown Mode у налаштуваннях iPhone повністю унеможливлює атаку, оскільки шкідливий інструментарій фіксує цей режим і припиняє виконання.
Загальна картина:
- Один і той самий експлойтний комплект передавався від компанії з розробки технологій спостереження до підконтрольної державі РФ групи і далі до китайських фінансових злочинців. Це вказує на посилення обігу потужних інструментів кібератак на вторинному ринку.
- Дві з експлойтних вразливостей Coruna були задіяні ще у шпигунській кампанії Operation Triangulation (2023 рік), розкритій Kaspersky, що демонструє повторне використання елітних векторів атаки різними групами загроз.
