Фахівці з групи Google з аналізу загроз виявили новий набір експлойтів для iOS під назвою Coruna, який використовують у кібершпигунстві та фінансових атаках, повідомляє BleepingComputer. Комплект містить 23 експлойти, об’єднані у п’ять повних ланцюгів атак, здатних зламувати пристрої на базі iOS від версії 13.0 до 17.2.1.
Вперше активність, пов’язану з Coruna, зафіксували у лютому 2025 року. Тоді дослідники отримали JavaScript-фреймворк доставки експлойтів разом із кодом для вразливості CVE-2024-23222 у рушії WebKit, яка дозволяла виконувати віддалений код на пристроях із iOS 17.2.1. Компанія Apple усунула цю проблему в оновленні iOS 17.3 ще в січні 2024 року після того, як її використали в атаках нульового дня.
Того ж року експлойти повторно зафіксували влітку для зараження безпечних сайтів, щоб згодом отримати доступ до пристроїв всіх користувачів, які відвідували сервіси. За даними дослідників, імовірні російські кіберрозвідники, яких відстежують під позначенням UNC6353, використовували заражені українські сайти електронної комерції, сервісів і промислового обладнання, щоб атакувати користувачів iPhone.
Наприкінці 2025 року Coruna з’явився вже на фальшивих китайських сайтах, пов’язаних із криптовалютою та азартними іграми. Активність у цьому випадку приписують фінансово мотивованій групі UNC6691.
Комплект експлойтів включає механізми віддаленого виконання коду в WebKit, обходи захисту Pointer Authentication Code, втечі з “пісочниці”, підвищення привілеїв ядра та обходи системи захисту пам’яті. Дослідники зазначають, що код містить детальну документацію англійською мовою і використовує техніки експлуатації, які раніше не були публічно описані.
Після успішного зламу на пристрій встановлюється завантажувач PlasmaLoader, відомий як PlasmaGrid. Він впроваджується у системний процес iOS та завантажує додаткові модулі з сервера управління. Основною метою цих модулів є криптовалютні гаманці, зокрема MetaMask, Phantom, Exodus, BitKeep та Uniswap.
Шкідливе ПЗ шукає фрази відновлення гаманців, конфіденційні текстові дані, а також інформацію, що зберігається у додатку Apple Notes. Перед передачею викрадені дані шифруються алгоритмом AES і надсилаються на сервери керування.
Аналітики зазначають, що поки не зрозуміло, як інструмент, який імовірно створювали для державних шпигунських операцій, потрапив до рук кіберзлочинців. Однак це може свідчити про існування ринку “вторинних” експлойтів нульового дня.
Компанія Google уже додала виявлені домени та сайти до системи Safe Browsing і рекомендує користувачам iPhone оновити систему до останньої версії. Якщо це неможливо, експерти радять активувати режим підвищеного захисту Lockdown Mode.