Группа Google Threat Intelligence Group (GTIG) предупреждает, что «новый мощный» набор эксплойтов для iOS, названный разработчиками Coruña, был развернут на фиктивных финансовых и криптографических веб-сайтах, предназначенных для того, чтобы заманить пользователей iPhone посетить страницы, которые могут молча предлагать уязвимости. Для держателей криптовалюты риск огромен: анализ GTIG показывает, что кампании в конечном итоге были сосредоточены на сборе исходных фраз и данных кошельков из популярных мобильных приложений.
Корунья нацелена на устройства Apple под управлением iOS 13.0–17.2.1, группируя пять полных цепочек эксплойтов и 23 эксплойта. GTIG заявляет, что восстановила комплект после отслеживания его эволюции в течение 2025 года: от первоначального использования клиентом коммерческой компании по наблюдению до «водяных» атак на взломанные украинские веб-сайты и, наконец, до широкомасштабного распространения через мошеннические сайты на китайском языке, связанные с финансово мотивированным субъектом, который он отслеживает как UNC6691.
Крипто-приманка, разработанная для iPhone
GTIG утверждает, что на этапе волны мошенничества он наблюдал, как платформа JavaScript, лежащая в основе Coruña, была развернута на «очень большом наборе» фейковых китайских веб-сайтов, в основном связанных с финансами. Одним из примеров, приведенных GTIG, является поддельная страница обмена криптовалютой под брендом WEEX, которая пыталась перенаправить посетителей на устройство iOS, после чего был внедрен скрытый iFrame для доставки набора эксплойтов «независимо от их геолокации».
Связанное чтение
Механизм доставки важен, поскольку он стирает грань между традиционным фишингом и прямым взломом устройства: как сообщает GTIG, простого перехода на страницу-ловушку с уязвимого iPhone было достаточно, чтобы запустить цепочку. Платформа снимает отпечатки пальцев устройства, чтобы идентифицировать модель и версию iOS, затем загружает соответствующий эксплойт удаленного выполнения кода WebKit и обход аутентификации указателя (PAC).
GTIG связал восстановленный им RCE WebKit с CVE-2024-23222, отметив, что Apple исправила его в iOS 17.3 22 января 2024 года.
В конце цепочки GTIG сообщает, что Корунья запускает устройство под названием PlasmaLoader (продолжающееся как PLASMAGRID), и описывает его как ориентированное не столько на классические функции наблюдения, сколько на кражу финансовой информации. По данным GTIG, полезная нагрузка может декодировать QR-коды из изображений, хранящихся на устройстве, и сканировать текстовые фрагменты на предмет последовательностей слов BIP39, а также таких ключевых слов, как «резервная фраза» и «банковский счет», в том числе в Apple Memos, которые затем можно фильтровать.
Связанное чтение
Полезная нагрузка также является модульной. GTIG заявляет, что может развертывать и запускать дополнительные модули удаленно, и что многие из выявленных модулей предназначены для подключения функций и утечки конфиденциальной информации из распространенных приложений криптокошельков, включая MetaMask, Trust Wallet, кошелек Uniswap, Phantom, Exodus и кошельки экосистемы TON, такие как Tonkeeper.
Более широкая сфера также была отмечена фирмой мобильной безопасности iVerify, которая опубликовала свои собственные выводы примерно в то же время, что и отчет GTIG. «И это именно то, что произошло здесь снова, но на мобильных устройствах. OEM-производители телефонов делают лучшую работу, которую кто-либо может сделать…»
Что теперь могут делать пользователи криптовалюты
Google заявляет, что Coruña «неэффективна против последней версии iOS», и призывает пользователей обновиться. Если обновление невозможно, GTIG рекомендует включить режим Apple Lock. GTIG также сообщает, что добавил идентифицированные веб-сайты и домены в Google Safe Browsing, чтобы уменьшить дальнейшее воздействие.
Для пользователей криптовалюты немедленный вывод является практичным: мобильные кошельки находятся на пересечении ценных активов и высокочастотного веб-трафика, что делает кампании «посещение для взаимодействия» исключительно опасными. Отчет GTIG предполагает, что воронка мошенничества заключалась не только в том, чтобы заставить жертв подключить кошельки, но и в том, чтобы поместить их на правильное устройство, на правильную версию iOS, чтобы эксплойт мог сделать все остальное.
На момент публикации общая капитализация крипторынка составляла $2,45 трлн.
Общая капитализация рынка криптовалют приближается к уровню Фибоначчи 0,786, 1-недельный график | Источник: TOTAL на TradingView.com.
Рекомендованное изображение, созданное с помощью DALL.E, диаграмма с сайта TradingView.com.
