Depositphotos
Специалисты Google обнаружили масштабные инструменты для взлома iPhone, который применяли во время кибератак против украинских пользователей. Также их использовали в схемах криптовалютного мошенничества. Речь идет о пакете эксплойтов под названием Coruna, который позволяет получить контроль над устройствами с рядом версий iOS.
О находке сообщила команда Google Threat Intelligence Group (GTIG), которая занимается анализом кибератак и деятельности хакерских группировок. По ее данным, Coruna рассчитан на смартфоны Apple с операционной системой iOS от версии 13.0 до 17.2.1. Набор содержит пять полноценных цепей атак, которые состоят в целом из 23 различных эксплойтов. Напоминаем, эксплойтом называют специальный программный код или инструмент, использующий техническую уязвимость в программном обеспечении. Благодаря таким уязвимостям злоумышленники могут получить доступ к функциям устройства или данным пользователя, минуя встроенные механизмы защиты. В случае Coruna некоторые инструменты позволяют обходить часть систем безопасности, интегрированных в iOS.
Специалисты GTIG сообщили, что в течение 2025 года отслеживали использование этого набора в нескольких операциях. Сначала его применял клиент компании, занимающейся разработкой оборудования для наблюдения. Позже исследователи зафиксировали применение Coruna в так называемых атаках типа watering hole против украинских пользователей. В таких операциях хакеры заражают сайты, которые регулярно посещает определенная группа людей, и ждут, пока жертвы сами откроют вредоносную страницу. По оценке Google, кампанию могла проводить группа UNC6353. В компании предполагают, что она связана с российскими шпионскими операциями.
Кроме того, исследователи зафиксировали использование этих инструментов в криптовалютном мошенничестве. В феврале 2025 года они перехватили эксплойты для iOS, которые были интегрированы в неизвестный JavaScript-фреймворк с сильно обфускованным кодом. Позже этот фреймворк нашли на десятках поддельных сайтов, в основном финансовой тематики. Часть ресурсов маскировалась под криптовалютные платформы, в частности под биржу WEEX. На таких страницах появлялись всплывающие сообщения, которые перенаправляли посетителей на другие сайты, где запускались эксплойты для iPhone.
После открытия зараженной страницы злоумышленники могли пытаться получить доступ к данным устройства, в частности к криптокошелькам, seed-фраз или другой финансовой информации. Фактически для начала атаки было достаточно самого перехода на вредоносную страницу. Исследователи рекомендуют пользователям обновлять iOS до актуальной версии и избегать переходов на подозрительные сайты, особенно если они связаны с криптовалютными сервисами или финансовыми операциями. Это значительно уменьшает риск использования известных уязвимостей.
По словам аналитиков, Coruna привлек внимание не только из-за конкретных атак, но и из-за масштаба инструментов, которые вошли в набор. Собранные в одном пакете 23 эксплойта фактически образуют полноценный арсенал для компрометации iPhone различными способами — от первоначального проникновения через веб-страницу к дальнейшему обходу защитных механизмов операционной системы. В Google отмечают, что подобные коллекции инструментов обычно используют в длительных кампаниях наблюдения или финансовых атаках, где целью становятся конкретные группы пользователей.
Источник: Google
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.