Google попереджає про криптошахрайства з використанням «нового й потужного» експлойт-набору для iPhone

Дослідники загроз із Google стверджують, що виявили новий набір експлойтів, націлений на користувачів Apple iPhone з метою викрадення фраз для відновлення криптовалютних гаманців. 

Набір, розробниками якого названо “Coruna”, націлений на iPhone з iOS версіями від 13.0 до 17.2.1. Він містить “п’ять повних ланцюгів експлойтів iOS і загалом 23 експлойти”, включаючи ті, що раніше не були відомі громадськості, повідомила група Google Threat Intelligence Group (GTIG) у середу у своєму звіті.

Група повідомила, що вперше виявила набір у лютому 2025 року і відтоді відстежувала його використання ймовірною російською шпигунською групою проти українців, а пізніше — на фальшивих китайських криптовалютних сайтах, що мають на меті викрадення криптовалюти.

GTIG повідомила, що набір не працює з найновішою версією iOS і закликала користувачів iPhone оновити свої пристрої до найновішого програмного забезпечення. Якщо це неможливо, користувачі повинні увімкнути “Режим блокування”, який, згідно з Apple, може протидіяти складним атакам.

Набір націлений на криптовалюту через фальшиві сайти

GTIG повідомила, що у лютому 2025 року натрапила на частину експлойта для iOS, у якому клієнт компанії нагляду використовував JavaScript для ідентифікації пристрою з метою доставки відповідного експлойту.

Пізніше того ж року, той самий JavaScript-фреймворк був прихований на кількох зламаних українських сайтах і “доставлявся лише відібраним користувачам iPhone з певної геолокації”.

GTIG повідомила, що у грудні виявила той самий фреймворк “на дуже великій кількості фальшивих китайських сайтів, здебільшого пов’язаних із фінансами”, включаючи один, що імітував криптобіржу WEEX.

Коли користувач заходить на ці сайти з пристрою iOS, фреймворк доставляє набір експлойтів і полює за фінансовою інформацією, аналізуючи текст із фразами для відновлення та ключовими словами, як “фраза для резервного копіювання” чи “банківський рахунок”.

Пов’язане: Хакери ‘ClickFix’ видають себе за венчурних інвесторів, захоплюють QuickLens у новій хвилі криптоатак

Набір також знаходить популярні криптододатки, включаючи Uniswap і MetaMask, щоб витягувати криптовалюту або конфіденційну інформацію.

Обговорюється походження Coruna із США

GTIG не назвала клієнта компанії нагляду, від якого нібито походить цей експлойт, але мобільна компанія iVerify повідомила WIRED, що він міг бути розроблений або придбаний урядом США.

“Він надзвичайно складний, розробка обійшлася в мільйони доларів, і має характерні риси інших модулів, які публічно приписували уряду США," розповів співзасновник iVerify Rocky Cole виданню WIRED.

“Це перший приклад, який ми бачили, коли ймовірні інструменти уряду США — судячи з коду — виходять із-під контролю та використовуються як нашими противниками, так і кіберзлочинними групами.”

Однак головний дослідник безпеки Kaspersky повідомив The Register, що компанія не побачила “жодного доказу фактичного повторного використання коду у опублікованих звітах для підтвердження приналежності Coruna тим самим авторам.”

Журнал: Познайомтеся з крипто-детективами на блокчейні, що борються зі злочинністю ефективніше за поліцію