Исследователи из Google сообщили о выявлении сложного набора инструментов для взлома iPhone, который на протяжении нескольких лет использовался различными хакерскими группировками. Внутреннее название этого инструментария — Coruna. Его применяли как для слежки, так и для атак с финансовыми мотивами.
Об этом сообщает ProIT
Как работал инструмент Coruna
По информации подразделения Google Threat Intelligence Group, набор содержал пять полноценных цепочек эксплуатации и 23 уязвимости в системе iOS. Это позволяло атаковать устройства с версий iOS 13 до iOS 17.2.1. Впервые часть инфраструктуры атаки исследователи перехватили в феврале 2025 года: тогда код использовал клиент компании, специализирующейся на разработке систем цифрового слежения.
Атака осуществлялась через сложный JavaScript-фреймворк, который собирал информацию о модели устройства и текущей версии операционной системы. Далее подбирался соответствующий эксплойт для браузерного движка WebKit и обходился механизм защиты Pointer Authentication Code.
Малварь в Украине и финансовые атаки
Летом 2025 года тот же инструментарий использовался в другой кампании: вредоносный код размещали на десятках взломанных украинских вебсайтов, в том числе на страницах интернет-магазинов и сервисных компаний. Такие страницы содержали скрытый фрейм, который доставлял эксплойты именно пользователям iPhone из определенных регионов. К концу года Coruna начала использоваться и в мошеннических схемах, в частности через сотни поддельных китайских сайтов, связанных с финансовыми услугами и криптовалютами.
После получения контроля над устройством загрузчик PlasmaLoader интегрировался в системный процесс с административными правами. Далее вредоносные модули искали данные финансовых сервисов и криптокошельков, включая изображения QR-кодов и фразы для восстановления BIP39.
«В случае обнаружения данных информация передавалась на сервер управления, а также могли подгружаться модули для перехвата работы популярных кошельков – MetaMask, Trust Wallet, Exodus Wallet и Phantom Wallet».
Специалисты подчеркивают, что все идентифицированные уязвимости уже закрыты в актуальных версиях iOS. Пользователям рекомендуется регулярно обновлять операционную систему и при необходимости активировать режим повышенной защиты Lockdown Mode для дополнительной безопасности.