Експерти Google ідентифікували потужний інструментарій для компрометації пристроїв iPhone, який активно використовувався у кібернападах, зокрема проти українських користувачів. Цей же пакет програмного забезпечення був задіяний у шахрайських схемах, пов’язаних із криптовалютами. Мова йде про комплексний набір експлойтів під умовною назвою Coruna, що дозволяє зловмисникам отримувати несанкціонований доступ до мобільних пристроїв під управлінням різних версій iOS.
Аналіз загроз від Google Threat Intelligence Group
Інформацію про виявлену загрозу поширила команда Google Threat Intelligence Group (GTIG), яка спеціалізується на дослідженні кібератак та моніторингу діяльності хакерських груп. Згідно з даними GTIG, пакет Coruna призначений для експлуатації вразливостей у смартфонах Apple з операційною системою iOS, починаючи з версії 13.0 і до 17.2.1. Цей набір складається з п’яти повних ланцюгів атак, які сумарно включають 23 різноманітні експлойти. Варто нагадати, що експлойт – це специфічний програмний код або інструмент, розроблений для використання конкретної технічної вразливості в програмному забезпеченні. Використовуючи такі слабкі місця, зловмисники можуть отримати несанкціонований доступ до функцій пристрою чи даних користувача, минаючи вбудовані механізми безпеки. У випадку з Coruna, окремі його компоненти здатні обходити певні захисні бар’єри, інтегровані в iOS.
Операції та цілі зловмисників
Фахівці GTIG відстежували використання цього комплексу у низці операцій протягом 2025 року. Спочатку його застосовував один із клієнтів компанії, що спеціалізується на розробці передових рішень для стеження. Згодом дослідники зафіксували застосування Coruna у так званих атаках типу “watering hole” (дослівно – “місце біля водопою”), спрямованих проти українських користувачів. Принцип таких атак полягає в зараженні вебсайтів, які регулярно відвідує певна цільова група, з подальшим очікуванням, доки користувачі самі не відвідають шкідливу сторінку. За оцінками Google, за цією кампанією могла стояти група UNC6353, яку компанія пов’язує з операціями російських спецслужб.
Окрім того, дослідники виявили використання цих інструментів у контексті криптовалютного шахрайства. У лютому 2025 року були перехоплені експлойти для iOS, інтегровані в невідомий JavaScript-фреймворк зі складно обфускованим (замаскованим) кодом. Згодом цей фреймворк було знайдено на десятках сфабрикованих вебсайтів, переважно фінансової тематики. Деякі з цих ресурсів імітували криптовалютні біржі, зокрема платформу WEEX. На таких сайтах з’являлися спливаючі повідомлення, що перенаправляли відвідувачів на інші ресурси, де й запускалися експлойти для iPhone.
Рекомендації для користувачів
Після відвідування зараженої сторінки зловмисники могли спробувати отримати доступ до конфіденційних даних пристрою, таких як інформація з криптогаманців, seed-фрази або інші фінансові дані. Фактично, для ініціювання атаки було достатньо лише переходу на шкідливий вебсайт. Дослідники наполегливо рекомендують користувачам своєчасно оновлювати операційну систему iOS до останньої доступної версії та уникати переходів на підозрілі вебсайти, особливо якщо вони стосуються криптовалютних сервісів чи фінансових операцій. Це суттєво знижує ризик використання відомих вразливостей.
Аналітики зазначають, що Coruna привернув значну увагу не лише через конкретні випадки атак, а й через масштаб зібраних у ньому інструментів. Ці 23 експлойти, об’єднані в одному пакеті, фактично формують потужний арсенал для компрометації iPhone різними методами – від початкового проникнення через веб-сторінку до подальшого обходу системних захисних механізмів. У Google підкреслюють, що подібні колекції інструментів зазвичай застосовуються в довготривалих кампаніях спостереження або масштабних фінансових атаках, де ціллю є конкретні групи користувачів.
Думка UA Finansy: Виявлення Coruna свідчить про зростаючу складність кіберзагроз, що націлені на мобільні платформи, особливо у сфері криптовалют. Це вимагає від користувачів підвищеної пильності та постійного оновлення програмного забезпечення для захисту своїх цифрових активів.
Подробиці можна знайти на сайті: itc.ua