Исследователи безопасности предупреждают, что уязвимость Coruna для iPhone нацелена на криптокошельки.
Коротко
Исследователи в области кибербезопасности обнаружили эксплойт-комплект Coruna — сложный набор инструментов, предназначенный для кражи учетных данных криптовалютных кошельков на iPhone под управлением iOS 13–17.2.1 с помощью многочисленных уязвимостей нулевого дня.
Исследователи в области кибербезопасности обнаружили мощный набор инструментов для взлома, способный обходить систему безопасности iPhone от Apple и красть криптовалюту из кошелька пользователя. Этот набор эксплойтов называется Coruna и использует ряд уязвимостей в мобильной операционной системе Apple. Он уже применялся в шпионаже и киберпреступлениях, мотивированных получением прибыли.
Исследователи безопасности из Google Threat Intelligence Group обнаружили, что фреймворк Coruna содержит 23 различных эксплойта, объединенных в несколько цепочек атак, которые позволяют хакерам атаковать устройства, использующие старые версии мобильного программного обеспечения Apple. После развертывания вредоносное ПО сканирует устройства с конфиденциальными данными, такими как криптовалютный кошелек и банковские реквизиты.
Полученные данные подчеркивают растущие риски для потребителей криптовалют, использующих мобильные кошельки для хранения цифровых активов. В связи с растущей популярностью мобильной торговли и приложений для децентрализованных финансов, злоумышленники начинают использовать смартфоны в качестве точки доступа к цифровым средствам.
Сложный набор инструментов с множеством путей атаки.
Эксплойт-комплект Coruna считается одной из самых сложных структур для атак на iPhone, когда-либо публично описанных. Эксперты по безопасности указывают, что этот инструментарий может атаковать устройства, работающие под управлением версий операционной системы Apple, включая iOS 13 — iOS 17.2.1, что применимо к iPhone, выпущенным в период с 2019 года по конец 2023 года.
Вместо одной уязвимости Coruna объединяет 23 различных эксплойта в 5 полных цепочек атак, что позволяет ей преодолевать несколько уровней защиты Apple.
В большинстве случаев для атаки не требуется никакого взаимодействия, поскольку она заключается лишь в посещении вредоносного сайта. После загрузки скомпрометированной страницы на уязвимое устройство автоматически выполняется скрытый эксплойт-код, позволяющий злоумышленнику получить контроль над телефоном и установить вредоносное ПО.
Сначала программа считывает отпечаток пальца устройства, чтобы определить модель iPhone и тип используемой операционной системы. Затем она выбирает подходящую цепочку эксплойтов для компрометации мер безопасности и установки вредоносного программного обеспечения.
Криптовалютные кошельки становятся основной целью для атак.
После взлома устройства вредоносная программа стремится украсть ценные данные, особенно учетные данные для криптовалюты. По словам следователей, имплантат сканирует сообщения, заметки и данные приложений, чтобы найти ключевые слова, основанные на фразах восстановления криптовалюты.
Вредоносная программа целенаправленно ищет слова «мнемоническая фраза», «резервная фраза» и «банковский счет», которые обычно связаны с программами восстановления кошельков. Обнаружив такие фразы, злоумышленники могут использовать их для восстановления кошелька жертвы на другом устройстве и получить полный доступ к деньгам.
По данным исследователей, набор эксплойтов нацелен на множество популярных приложений децентрализованных кошельков, таких как платформы, которые связывают пользователей с протоколами децентрализованных финансов и торговыми платформами.
Согласно отчетам, по меньшей мере 18 криптоприложений поддерживают подобный способ извлечения данных при установке на скомпрометированные устройства. После сбора конфиденциальных данных вредоносная программа передает их на удаленные командно-контрольные серверы, управляемые злоумышленниками, чтобы в короткие сроки опустошить кошельки пострадавших.
От инструмента шпионажа до оружия преступников
Одним из наиболее тревожных моментов, связанных с эксплойт-комплектом Coruna, является способ его распространения среди различных субъектов, осуществляющих киберпреступления. По данным следователей, этот фреймворк был впервые обнаружен в 2025 году в рамках целенаправленной слежки, связанной с клиентом коммерческого шпионского ПО.
Кроме того, в том же году та же инфраструктура эксплойтов была использована в так называемых атаках типа «водяная яма» на украинские веб-сайты, организованных якобы российской шпионской группой.
К 2025 году этот набор инструментов вновь появился в финансовых операциях киберпреступных организаций, использующих поддельные сайты криптовалют и азартных игр.
Исследователи в области безопасности предполагают, что хакеры установили эксплойт-кит на сотни вредоносных веб-сайтов, где были заражены десятки тысяч устройств, а информация о пользователях криптовалютных кошельков была украдена злоумышленниками. Разработка этого инструментария показывает, как лучшие технологии кибершпионажа могут в конечном итоге проникнуть в остальную криминальную экосистему.
Растущий рынок эксплойтов нулевого дня
Аналитики в области безопасности отмечают, что инцидент в Корунье свидетельствует о еще более масштабной тенденции в секторе кибербезопасности: развитии подпольного рынка передового хакерского оборудования.
Более изощренные уязвимости, созданные правительствами для слежки за своими гражданами или сбора разведывательных данных, иногда попадают в руки отдельных продавцов или на черные рынки, в конечном итоге оказываясь в руках киберпреступников.
Недавно появились сообщения о том, что деятельность Coruna можно сравнить с предыдущими громкими операциями по слежке за iPhone, такими как Operation Triangulation, в рамках которой использовались пока нераскрытые уязвимости для взлома устройств Apple.
Тот факт, что эти инструменты вышли за рамки шпионажа и перешли в сферу финансовых киберпреступлений, вызывает беспокойство, учитывая, что сложные эксплойты могут очень быстро проникать на подпольные рынки.
Устройства Apple не застрахованы от крупномасштабных атак.
На протяжении многих лет мобильная экосистема Apple считалась более безопасной по сравнению с большинством конкурирующих систем благодаря крайне ограниченной среде приложений и закрытой системе аппаратного и программного обеспечения.
Тем не менее, такие случаи, как в Корунье, показывают, что даже самые защищенные системы могут быть взломаны, если злоумышленники получат доступ к более чем одной уязвимости нулевого дня.
По мнению аналитиков в области безопасности, конструкция эксплойт-комплекта вызывает особую обеспокоенность, поскольку он позволит осуществлять массовую эксплуатацию уязвимостей, а не целенаправленное наблюдение. Один-единственный вредоносный сайт заразит любую уязвимую машину, которая его посетит.
По мнению экспертов, это особенно опасно для тех, кто использует криптовалюту и регулярно пользуется децентрализованными приложениями, страницами получения токенов или услугами сторонних торговых провайдеров. в качестве криптомошенничества продолжать расти.
Меры защиты и ответ Apple
К счастью, исследователи указывают, что в более новых версиях своей операционной системы Apple уже устранила уязвимости, которыми пользовалась Coruna.
Нет оснований полагать, что набор эксплойтов может затронуть пользователей последних версий iOS. Специалисты по безопасности рекомендовали пользователям iPhone немедленно обновить свои телефоны до последней версии iOS. Обновление устраняет уязвимости, которые изначально позволяли Coruna получить доступ к системе.
Для защиты своих устройств эксперты также рекомендуют включить режим блокировки, который есть в устройствах Apple и позволяет пользователям избежать проникновения сложных шпионских программ только в том случае, если они не могут обновить свои устройства. Coruna, как утверждают исследователи, автоматически приостанавливает свою работу, если на устройстве обнаружен режим блокировки.
Условия использования
В соответствии с Руководство трастового проектаОбратите внимание, что информация, представленная на этой странице, не предназначена и не должна интерпретироваться как юридическая, налоговая, инвестиционная, финансовая или любая другая форма консультации. Важно инвестировать только то, что вы можете позволить себе потерять, и обращаться за независимой финансовой консультацией, если у вас есть какие-либо сомнения. Для получения дополнительной информации мы предлагаем обратиться к положениям и условиям, а также к страницам справки и поддержки, предоставленным эмитентом или рекламодателем. MetaversePost стремится предоставлять точную и объективную отчетность, однако рыночные условия могут быть изменены без предварительного уведомления.
Об авторе
Алиса, преданный журналист MPostспециализируется на криптовалютах, искусственном интеллекте, инвестициях и обширной сфере... Web3. Внимательно следя за новыми тенденциями и технологиями, она всесторонне освещает события, информируя и вовлекая читателей в постоянно развивающуюся среду цифровых финансов.
Другие статьи
Алиса, преданный журналист MPostспециализируется на криптовалютах, искусственном интеллекте, инвестициях и обширной сфере... Web3. Внимательно следя за новыми тенденциями и технологиями, она всесторонне освещает события, информируя и вовлекая читателей в постоянно развивающуюся среду цифровых финансов.
