Новый сложный хакерский инструментарий, обнаруженный компанией Google, подвергает опасности владельцев iPhone и их криптовалютные кошельки. Эта вредоносная программа, получившая название "Coruna", способна заражать устройства Apple абсолютно пассивным способом, просто посетив скомпрометированный веб-сайт, а затем выкачивать средства из некоторых наиболее популярных в мире приложений для криптовалютных кошельков.
Угроза, появившаяся в результате анализа, проведенного службами безопасности Google, представляет собой опасный скачок вперед в сфере кибератак, сочетая в себе бесшумность эксплойта с нулевым кликом и прямую финансовую цель.
Невидимая атака: всего один клик, чтобы заразиться
Самой тревожной особенностью Coruna является ее способность действовать без какого-либо взаимодействия с жертвой. В отличие от классического фишинга, который требует перехода по вредоносной ссылке или загрузки зараженного файла, этот набор инструментов использует глубокие уязвимости в операционной системе iOS.
Пользователю с устаревшим iPhone достаточно попасть на поддельный или скомпрометированный сайт, чтобы вызвать заражение. Попав на сайт, вредоносная программа не крадет пароли, а идет прямо к источнику: начальным фразам, необходимым для восстановления и управления криптокошельком.
Coruna бесшумно сканирует сообщения, заметки и другие файлы iPhone в поисках определенных текстовых строк, таких как "фраза резервного копирования" или "фраза восстановления", а также 12 или 24 слов. Как только последовательность найдена, злоумышленники получают полный контроль над средствами, минуя дальнейшую аутентификацию.
Кто под прицелом: 18 приложений в зоне риска
Атака направлена не на одну платформу, а на целое созвездие децентрализованных финансовых приложений (DeFi). Согласно анализу Google, в поле зрения Coruna попали 18 криптовалютных приложений, включая таких гигантов индустрии, как MetaMask, Phantom, Exodus, Trust Wallet и Uniswap. Таким образом, пользователи этих платформ подвергаются прямому и непосредственному риску кражи криптовалюты.
Генезис множественной угрозы
История Coruna сложна и свидетельствует о растущем черном рынке киберэксплойтов. Google реконструировала путь инструментария, восстановив его на сотнях поддельных сайтов, включая обманчивую копию криптобиржевой платформы WEEX.
Анализ выявил тревожное перекрестное использование:
- Летом 2025 года предполагаемая российская шпионская группа использовала тот же инструментарий для атак на пользователей iPhone в Украине, используя взломанные сайты местных компаний.
- После этого преступная группа, базирующаяся в Китае, руководствуясь финансовыми соображениями, широко распространила его через мошеннические сайты, что позволило Google получить полный код и переименовать его в Coruna.
Этот переход из рук в руки свидетельствует о существовании процветающего вторичного рынка чрезвычайно мощных хакерских инструментов.
Как защитить себя: решение есть
Несмотря на опасность атаки, защита от нее удивительно проста и уже доступна. Уязвимость, которой воспользовался Коруна, затрагивает iPhone под управлением iOS 17.2.1 или более ранней версии. Apple выпустила финальный патч для этих уязвимостей в обновлении iOS 17.3, вышедшем в январе 2024 года. Потенциально рискуют те, кто не устанавливал обновления более полутора лет.
Кроме того, Apple уже ввела экстремальную меру безопасности, которая оказалась фатальной для инструментария: Lockdown Mode. Если активировать эту функцию в настройках iPhone, она полностью блокирует атаку: как только Coruna обнаруживает наличие режима, она немедленно прекращает выполнение.
Опасное наследие: переработанные эксплойты
В итоге анализ Коруны выявил еще один тревожный момент: два из эксплойтов, лежащих в основе набора инструментов, уже использовались в предыдущей известной кампании iOS-шпионажа, Operation Triangulation, обнаруженной Касперским в 2023 году. Это демонстрирует, как эксплойты "элитного" уровня, будучи разработанными, продолжают циркулировать и повторно использоваться различными субъектами, переходя от агентств слежения к государственным группам и, в конечном счете, к обычным финансовым преступникам.
