Google раскрыла Coruna iOS-эксплойт с 23 уязвимостями, который попадает в черный рынок из инструментов национального слежения, нацеленных на шифрованные активы iPhone и крадущих приватные ключи без взаимодействия пользователя.
От национальных средств слежения к «средствам сбора активов»
Согласно глубокому отчету группы угроз Google Threat Intelligence Group (GTIG), эксплойт-комплект для iOS под кодовым названием Coruna (также известный как CryptoWaters) представляет серьезную угрозу для пользователей iPhone по всему миру. Этот инструмент прошел драматический путь развития: впервые обнаруженный в феврале 2025 года, он изначально предоставлялся частными компаниями для правительственных заказчиков для точечного слежения за политиками и оппозиционерами. Позже, летом 2025 года, связанная с российским правительством хакерская группа UNC6353 взяла его под контроль и использовала для геополитической разведки против граждан Украины.
Источник: Таймлайн обнаружения Coruna
С развитием технологий этот дорогостоящий в разработке профессиональный инструмент официально попал на черный рынок. В конце 2025 — начале 2026 годов китайская хакерская группа UNC6691 получила доступ к технологии и переключила фокус атак на кражу цифровых активов. Это означает, что высокотехнологичные шпионские инструменты стали товаром, превращаясь из средств получения разведданных о конкретных целях в массовое похищение богатства у обычных держателей криптовалют. Исследователи отмечают, что готовность хакеров вкладывать большие средства в технологии свидетельствует о высокой прибыли, которую приносят криптоактивы, и о том, что профессиональные инструменты все чаще используются в финансовых преступлениях.
23 уязвимости — цепная реакция: молчаливое проникновение за «водопой»
Coruna обладает высокой степенью автоматизации и скрытности, внутри интегрировано 23 отдельные уязвимости, образующие 5 полных цепочек атак. Область воздействия широка — от iOS 13.0 до iOS 17.2.1 на всех моделях iPhone и iPad. Хакеры используют скрытую тактику «Watering Hole» — заражая или создавая поддельные сайты криптовалютных бирж и финансовых платформ, чтобы заманить жертв. Эти сайты, такие как поддельная платформа WEEX, выглядят и функционируют почти как оригинальные, а также используют SEO и платную рекламу для увеличения видимости.
Источник: Поддельная платформа WEEX
Когда пользователь iPhone посещает зараженные страницы, фоновый скрипт мгновенно запускает идентификацию устройства. Система тихо проверяет версию iOS, и если она входит в диапазон атак, автоматически активируется уязвимость нулевого клика (Zero-click), позволяющая проникнуть без какого-либо взаимодействия пользователя или клика по ссылке. Некоторые поддельные сайты даже активно предлагают использовать iOS-устройство для просмотра, обещая лучший опыт, на самом деле — чтобы точно нацелиться на устаревшие и уязвимые системы.
Даже скриншоты в альбомах не спасают
После получения доступа к устройству Coruna запускает вредоносную программу PlasmaLoader, которая сканирует цифровые активы пользователя. Эта программа обладает мощными возможностями поиска — она ищет ключевые слова вроде «backup phrase», «bank account» или «seed phrase» в сообщениях и заметках, а также извлекает важные данные. Более того, она умеет распознавать изображения, автоматически сканируя скриншоты в альбомах на наличие QR-кодов с приватными ключами или мнемоническими фразами.
Помимо статического сбора данных, Coruna атакует популярные криптокошельки, такие как MetaMask и Uniswap, чтобы получить доступ к чувствительной информации и полностью контролировать кошельки. В ряде известных случаев средства жертв были быстро переведены после посещения поддельных сайтов. Поскольку атака затрагивает системные уровни, любые следы приватных ключей, оставленные на устройстве, — будь то в памяти или файлах — не останутся незамеченными этим разведывательным инструментом.
Источник: Google — список приложений, уязвимых к атакам
Защита и рекомендации? Обновление системы — ключ к безопасности
При столкновении с такими сложными угрозами пользователи iPhone должны предпринимать четкие меры защиты. В отчете Google отмечается, что Coruna полностью неэффективен против iOS 17.3 и выше. Несмотря на то, что новые версии системы уже выпущены, часть пользователей по-прежнему не обновляют свои устройства из-за устаревших моделей или нехватки места, что оставляет их уязвимыми. Для старых устройств, которые не могут обновиться, рекомендуется включить режим «Lockdown Mode» — он отключает большинство функций, чтобы предотвратить работу вредоносных программ, обнаруживающих этот режим.
Эксперты по информационной безопасности советуют держателям криптоактивов придерживаться базовых правил. В первую очередь — использовать аппаратные кошельки (например, Ledger или Trezor), чтобы приватные ключи всегда оставались оффлайн и не контактировали с iOS. Также необходимо немедленно удалить все скриншоты с мнемоническими фразами или приватными ключами из фотогалереи и делать резервные копии в оффлайн-режиме.
Хотя Coruna избегает использования режима инкогнито для снижения вероятности обнаружения, это лишь временная мера. В условиях растущей стоимости цифровых активов своевременное обновление программного обеспечения и бдительность в области кибербезопасности — обязательные для каждого инвестора.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Фейковое приложение Ledger в App Store Apple опустошает пенсионный фонд музыканта на 5,9 BTC
Фальшивое приложение Ledger в App Store от Apple обмануло музыканта Гарретта Даттона, заставив его лишиться 5.9 BTC, введя его seed phrase (seed-фразу). Этот случай подчеркивает продолжающиеся мошенничества с кошельками и использование доверия, поскольку украденный биткоин был отмыт через KuCoin.
CryptoNewsFlashТолько Сейчас
Некрупный CEX подвергся вымогательству без уступок: затронуто примерно 2000 учетных записей, безопасность средств клиентов не находится под угрозой
Некрипто-биржа подверглась вымогательству со стороны преступной организации, которая заявила, что опубликует видеозаписи доступа к внутренним системам. Биржа подтвердила, что не было системного взлома; средства клиентов в безопасности. Из‑за неправомерных действий сотрудников службы поддержки были получены доступы примерно к 2000 учетным записям данных; соответствующие полномочия прекращены и усилены меры безопасности. Компания сотрудничает с правоохранительными органами в рамках расследования.
GateNews3ч назад
Солана соучредитель toly: следует создать базовый стейблкоин, который можно замораживать только по разрешению суда
Солана сооснователь toly указал, что отрасли нужен стейблкоин, который можно замораживать только по судебному распоряжению, выступая против других факторов заморозки. Он предложил, чтобы протокол выпускал на базовом слое стейблкоины с настраиваемыми стратегиями заморозки, и усиливал меры безопасности. Это мнение возникло как реакция на недавнее хакерское происшествие Circle с протоколом Drift, что вызвало дискуссии о централизованных стейблкоинах.
GateNews3ч назад
Злоумышленник чеканит 1B DOT, сбрасывает за $237K ETH
Инцидент безопасности, связанный с версией ERC-20 Polkadot в Ethereum, вызвал опасения, подчеркнув риски токенов с обёрткой и кроссчейн-активов. Злоумышленник воспользовался уязвимостью, чтобы чеканить и сбросить 1 миллиард DOT-токенов, что привело к обвалу рынка и выявило уязвимости в управлении смарт-контрактами.
Coinfomania6ч назад
Музыкальная звезда G. Love теряет 5,9 биткоина в шокирующей мошеннической схеме в App Store
_Музыкант G. Love потерял 5.9 BTC в фейковом мошенничестве с приложением Ledger, что вызывает серьезные опасения по поводу безопасности криптовалют и информированности пользователей во всем мире._
Крупная криптомошенническая схема затронула Гаррета Даттона, широко известного как G. Love. Американский певец лишился 5.9 Bitcoin, стоимость которых почти 420,000. Потеря произошла, когда он t
LiveBTCNews6ч назад
Aave погряз в кризис доверия: провайдеры массово уходят, «технологии, управление и риск-контроль» полностью провалены
Автор: Jae, PANews
По сравнению с внешним давлением медвежьего рынка, внутри Aave, наоборот, сначала появилась «черная лебедь».
Долгие годы удерживавший трон короля кредитных соглашений Aave столкнулся с самым жестоким потрясением экосистемы с момента своего основания. Никаких хакерских атак, никаких уязвимостей в коде — только неконтролируемая власть и разлад интересов.
От решительного ухода техподдержки BGD Labs до публичного разрыва с лидером управления ACI (Aave Chan Initiative), затем — до официального объявления о прекращении сотрудничества с управляющим рисками Chaos Labs, разворачивается «массовый уход» поставщиков услуг.
Глубина этой игры намного превосходит рамки спора о сотрудничестве, она вызвала
区块客7ч назад
