Исследователи угроз из Google Threat Intelligence Group (GTIG) обнаружили новый мощный набор эксплойтов под названием Coruna, предназначенный для атак на пользователей iPhone с целью кражи сид-фраз криптокошельков и другой финансовой информации. Эксплойт-кит использует пять полных цепочек для iOS и в общей сложности 23 уязвимости, включая ранее неизвестные публике. Он нацелен на устройства, работающие под управлением iOS версий от 13.0 до 17.2.1.
По данным GTIG, китов Coruna впервые был обнаружен в феврале 2025 года. Изначально его использовала подозреваемая российская группа кибершпионажа против украинских пользователей. Позже, в декабре 2025 года, тот же фреймворк был обнаружен на большом количестве поддельных китайских веб-сайтов, преимущественно финансовой тематики, включая сайт, имитирующий криптобиржу WEEX.
«Когда пользователь заходит на эти сайты с устройства iOS, фреймворк доставляет эксплойт-кит и ищет финансовую информацию, включая анализ текстов, содержащих сид-фразы и ключевые слова, такие как „резервная фраза“ или „банковский счёт“», — сообщают исследователи. Kit также ищет популярные криптоприложения, включая Uniswap и MetaMask, для извлечения криптовалюты или конфиденциальных данных.
Google подчёркивает, что эксплойт не работает с последней версией iOS, и настоятельно рекомендует пользователям обновить свои устройства до актуального программного обеспечения. Если это невозможно, следует активировать на iPhone «Режим блокировки» (Lockdown Mode), который, по заявлению Apple, способен противостоять сложным атакам.
Происхождение Coruna вызывает споры. Мобильная security-компания iVerify, чьи представители дали комментарий WIRED, заявила, что китов, вероятно, был создан или приобретён правительством США, ссылаясь на его высокую сложность и стоимость разработки в миллионы долларов. Однако в Kaspersky отметили, что в опубликованных отчётах нет доказательств повторного использования кода, чтобы однозначно приписать Coruna тем же авторам.
