Группа Google по анализу угроз (GTIG) опубликовала новый отчет о мощном наборе эксплойтов для iOS под названием «Coruna», который прошел от клиента поставщика услуг наблюдения к российской шпионской группе, а затем к китайским киберпреступникам, раскрывая таким образом сложную «цепочку поставок» эксплойтов.

Coruna, описываемый как один из самых полных общедоступных наборов эксплойтов для iOS, нацелен на iPhone с версиями iOS от 13.0 до 17.2.1 и содержит 23 эксплойта, охватывающих четыре года обновлений iOS.

По данным GTIG, он был впервые замечен в феврале 2025 года, когда его использовал клиент коммерческого поставщика услуг наблюдения. К лету 2025 года та же платформа появилась в атаках типа «watering hole» (когда злоумышленник компрометирует веб-сайты, которые, вероятно, посещают его цели) со стороны предполагаемой российской шпионской группы, нацеленной на украинских пользователей.

Затем, в конце 2025 года, базирующийся в Китае злоумышленник, мотивированный финансовыми соображениями, развернул его в крупной сети поддельных финансовых и криптовалютных веб-сайтов. GTIG заявила, что неясно, как набор эксплойтов передавался от одного злоумышленника к другому, но это предполагает активный рынок «подержанных» эксплойтов нулевого дня.

Что касается содержимого набора, то оно описывается как чрезвычайно хорошо спроектированное. Когда кто-то посещает зараженный веб-сайт, он определяет, какой тип iPhone использует пользователь и какая версия программного обеспечения установлена, а затем выбирает правильную атаку для конкретного устройства. Если у пользователя включен режим блокировки Apple, набор прекращает работу — он даже не пытается.

Код атаки зашифрован с использованием сильного шифрования, поэтому исследователям безопасности трудно его перехватить и проанализировать, и он упакован в пользовательский формат, который разработчики, по-видимому, изобрели сами. Согласно анализу GTIG, код также содержит подробные примечания на английском языке, объясняющие, как все это работает, и использует методы атаки, которые ранее не были известны публике.

Набор нацелен на криптовалютные кошельки и финансовые данные и способен перехватывать 18 различных криптовалютных приложений для кражи учетных данных кошельков. Полезная нагрузка может декодировать QR-коды из изображений на диске, а также имеет модуль для анализа текстовых блоков в поисках последовательностей слов BIP39 или очень специфических ключевых слов, таких как «резервная фраза» (backup phrase) или «банковский счет» (bank account). Он даже сканирует Apple Notes на наличие типичных сид-фраз.

Любой, кто все еще использует iOS 17.2.1 или более ранние версии, потенциально уязвим для этого набора эксплойтов, который не работает против более новых версий iOS, поэтому убедитесь, что вы обновились, если можете. В противном случае, похоже, что режим блокировки Apple выполняет свою работу по защите от такого мощного набора эксплойтов, и это может быть только хорошей новостью для тех, кто включает его.