» Google предупреждает о криптовалютных мошеннических схемах с использованием «нового и мощного» набора эксплойтов для iPhone Дата публикации:05.03.2026, 14:59 96 96 Скопировать Поделись с друзьями! Исследователи угроз из Google сообщают, что обнаружили новый набор эксплойтов, нацеленных на пользователей Apple iPhone и предназначенных для кражи исходных фраз криптокошельков.
Набор, названный разработчиками Coruna, предназначен для iPhone с iOS версий от 13.0 до 17.2.1. Он содержит «пять полных цепочек эксплойтов для iOS и в общей сложности 23 эксплойта», в том числе ранее неизвестные широкой публике, говорится в отчёте Google Threat Intelligence Group (GTIG), опубликованном в среду.
По данным группы, она впервые обнаружила этот набор в феврале 2025 года и с тех пор отслеживала его использование предполагаемой российской шпионской группой против украинцев, а затем и на поддельных китайских криптовалютных сайтах, цель которых — кража криптовалюты.
В GTIG заявили, что комплект не работает с последней версией iOS, и призвали пользователей iPhone обновить свои устройства до последней версии программного обеспечения. Если это невозможно, пользователям следует перевести телефон в «режим блокировки», который, по словам Apple, может противостоять изощренным атакам.
Kit нацелен на криптовалюты через поддельные веб-сайты
По данным GTIG, в феврале 2025 года компания столкнулась с частью эксплойта для iOS, в котором клиент компании, занимающейся видеонаблюдением, использовал JavaScript для снятия отпечатков устройства, чтобы внедрить соответствующий эксплойт.
Позже в том же году на нескольких взломанных украинских сайтах был обнаружен тот же фреймворк JavaScript, который «доставлялся только избранным пользователям iPhone из определенной геолокации».
Источник: Mandiant
По данным GTIG, в декабре тот же шаблон был обнаружен «на очень большом количестве поддельных китайских сайтов, в основном связанных с финансами», в том числе на сайте, имитирующем криптовалютную биржу WEEX.
Когда пользователь заходит на сайты с устройства iOS, фреймворк запускает набор эксплойтов и ищет финансовую информацию, в том числе анализируя тексты, содержащие начальные фразы и ключевые слова, такие как «резервная фраза» или «банковский счет».
Набор инструментов также нацелен на популярные криптоприложения, в том числе Uniswap и MetaMask, для извлечения криптовалюты или конфиденциальной информации.
Происхождение Coruna связывают с американской разведкой
GTIG не назвала заказчика компании, занимающейся слежкой, от которой, как утверждается, произошел этот набор инструментов, но компания iVerify, специализирующаяся на мобильной безопасности, сообщила WIRED, что он мог быть создан или куплен правительством США.
«Это очень сложная система, на ее разработку ушли миллионы долларов, и она имеет сходство с другими модулями, которые публично приписывались правительству США», — сказал соучредитель iVerify Роки Коул в интервью WIRED.
«Это первый известный нам пример того, как правительственные инструменты США — судя по коду — вышли из-под контроля и стали использоваться как нашими противниками, так и киберпреступными группировками».
Однако главный исследователь в области кибербезопасности «Лаборатории Касперского» сообщил изданию The Register, что компания не нашла «никаких доказательств фактического повторного использования кода в опубликованных отчетах, которые позволили бы приписать Coruna тем же авторам».
