Специалисты из группы Google по анализу угроз обнаружили новый набор эксплойтов для iOS под названием Coruna, который используют в кибершпионаже и финансовых атаках. Комплект содержит 23 эксплойта, объединённые в пять полных цепочек атак, способных взламывать устройства на базе iOS от версии 13.0 до 17.2.1.

В том же году эксплойты повторно зафиксировали летом для заражения безопасных сайтов, чтобы впоследствии получить доступ к устройствам всех пользователей, посещавших сервисы. По данным исследователей, вероятные российские киберразведчики, которых отслеживают под обозначением UNC6353, использовали заражённые украинские сайты электронной коммерции, сервисов и промышленного оборудования, чтобы атаковать пользователей iPhone.

В конце 2025 года Coruna появился уже на фальшивых китайских сайтах, связанных с криптовалютой и азартными играми. Активность в этом случае приписывают финансово мотивированной группе UNC6691.

Комплект эксплойтов включает механизмы удалённого выполнения кода в WebKit, обходы защиты Pointer Authentication Code, выходы из "песочницы", повышение привилегий ядра и обходы системы защиты памяти. Исследователи отмечают, что код содержит подробную документацию на английском языке и использует техники эксплуатации, которые ранее не были публично описаны.

После успешного взлома на устройство устанавливается загрузчик PlasmaLoader, известный как PlasmaGrid. Он внедряется в системный процесс iOS и загружает дополнительные модули с сервера управления. Основной целью этих модулей являются криптовалютные кошельки, в частности MetaMask, Phantom, Exodus, BitKeep и Uniswap.

Вредоносное ПО ищет фразы восстановления кошельков, конфиденциальные текстовые данные, а также информацию, хранящуюся в приложении Apple Notes. Перед передачей украденные данные шифруются алгоритмом AES и отправляются на серверы управления.

Аналитики отмечают, что пока не ясно, как инструмент, который предположительно создавали для государственных шпионских операций, попал в руки киберпреступников.

Однако это может свидетельствовать о существовании рынка "вторичных" эксплойтов нулевого дня.

Компания Google уже добавила обнаруженные домены и сайты в систему Safe Browsing и рекомендует пользователям iPhone обновить систему до последней версии. Если это невозможно, эксперты советуют активировать режим повышенной защиты Lockdown Mode.

Напомним, ранее сообщалось, что хакер с помощью ИИ чат-бота взломал правительственные сайты Мексики.

  Хакеры России и Северной Кореи объединяют ресурсы - аналитики