Сначала следят спецслужбы, а потом мошенники крадут крипту – жизненный цикл новой уязвимости iOS

Специалисты Google обнаружили мощный набор уязвимостей для взлома iPhone, который несколько лет переходил из рук в руки между разными группами злоумышленников. Инструмент под названием Coruna сначала применяли в точечных операциях слежки, позже использовали в шпионских атаках против пользователей на Украине, а затем тот же набор оказался у китайских мошенников.

Команда Google Threat Intelligence Group изучила Coruna и нашла в наборе пять полноценных цепочек эксплуатации уязвимостей и 23 отдельных уязвимости для iOS. Набор атакует iPhone с версиями системы от iOS 13, вышедшей в сентябре 2019 года, до iOS 17.2.1, опубликованной в декабре 2023 года. Некоторые методы обхода защиты ранее не публиковались и позволяют обходить встроенные механизмы безопасности iOS.

История Coruna оказалась необычной. В феврале 2025 года специалисты перехватили часть цепочки атаки, которую использовал клиент коммерческой компании, продающей системы слежки. Вредоносный код работал через сложный JavaScript-фреймворк с необычной обфускацией. Скрипт сначала собирал сведения об устройстве: проверял, настоящий ли телефон, определял модель iPhone и версию iOS. Затем сервер отправлял подходящую уязвимость для движка WebKit и механизм обхода защиты Pointer Authentication Code.

Один из таких эксплойтов использовал уязвимость CVE-2024-23222. Apple закрыла проблему в январе 2024 года вместе с выпуском iOS 17.3.

Через несколько месяцев тот же фреймворк появился в другой кампании. Летом 2025 года злоумышленники внедрили код на десятки взломанных украинских сайтов. Среди заражённых ресурсов оказались сайты магазинов, сервисных компаний и интернет-площадок. Страницы незаметно загружали скрытый фрейм, который доставлял эксплойты только выбранным пользователям iPhone из определённых регионов. Кампанию связали с группой UNC6353. После обнаружения специалисты уведомили украинскую команду реагирования CERT-UA и помогли очистить заражённые сайты.

К концу 2025 года набор Coruna снова появился в сети, но уже в совершенно другой кампании. На этот раз вредоносный код распространяли через сотни поддельных китайских сайтов, связанных с финансами и криптовалютами. Мошеннические страницы убеждали посетителей открыть сайт именно с iPhone. После перехода страница незаметно вставляла скрытый фрейм, который запускал тот же набор эксплойтов.

В одном из случаев злоумышленники случайно развернули отладочную версию комплекта. В коде остались названия модулей и внутренних компонентов. Благодаря этой ошибке специалисты узнали внутреннее имя набора – Coruna. Анализ нескольких сотен образцов позволил восстановить пять полных цепочек атак.

Набор устроен довольно сложно. Скрипт прекращает работу, если телефон включил режим повышенной защиты Lockdown Mode или пользователь открыл сайт в приватном режиме. Для загрузки компонентов используется специальная cookie-метка и вычисление адресов через хеш SHA-256. После успешного выполнения уязвимости WebKit запускается двоичный загрузчик, который подбирает подходящую цепочку атак для конкретного устройства. Полезная нагрузка хранится в зашифрованном виде и маскируется под JavaScript-файлы.

После получения полного контроля над устройством запускается загрузчик PlasmaLoader. Компонент внедряется в системный процесс powerd, работающий с правами администратора. Дальнейшая активность показала, что конечная цель атак – не слежка, а кража финансовых данных.

Вредоносный модуль ищет на устройстве изображения с QR-кодами, а также анализирует текстовые файлы. Программа пытается найти фразы восстановления криптокошельков BIP39 или ключевые слова вроде «backup phrase» и «bank account». Если такие данные обнаруживаются в заметках Apple, вредоносный код отправляет информацию на сервер управления.

Кроме того, программа может загружать дополнительные модули. Каждый модуль перехватывает работу популярных криптовалютных приложений, среди которых MetaMask, Trust Wallet, Exodus, Phantom и другие кошельки. Журналы работы модулей написаны на китайском языке, что косвенно указывает на происхождение операторов.

По наблюдениям Google, Coruna показывает, как сложные инструменты взлома постепенно распространяются между разными группами. Набор уязвимостей сначала использовали в операциях слежки, затем применили в кибершпионаже, а позже тот же инструмент оказался у финансовых мошенников. Такая цепочка намекает на существование теневого рынка, где продают или перепродают дорогостоящие уязвимости нулевого дня.

Набор Coruna не работает на последних версиях iOS. Владельцам iPhone рекомендуют установить актуальное обновление системы. Если обновление невозможно, разработчики советуют включить режим Lockdown Mode, который серьёзно ограничивает возможности атак.