Google: эксплойты Coruna в iOS крадут данные криптокошельков
Заголовок
- Google: набор эксплойтов Coruna крадёт сид‑фразы на iPhone; поражает iOS 13–17.2.1; актуальная iOS блокирует
Кратко
- Google предупреждает: новый iOS‑набор эксплойтов «Coruna» крадёт сид‑фразы и данные криптокошельков у пользователей iPhone, которые посещают фейковые финсайты и криптосайты. Source
- Цели Coruna — iOS 13.0–17.2.1. Набор связывает несколько эксплойтов и компрометирует устройство при загрузке страницы
Охват и эволюция
- GTIG восстановила Coruna: 5 полных цепочек эксплойтов и 23 отдельные уязвимости. Details
- Эволюция в 2025: от клиента коммерческой слежки — к watering‑hole‑атакам на скомпрометированные украинские сайты — затем к широким китайскоязычным скам‑кампаниям, связанным с актором UNC6691. Details
Доставка и эксплуатация
- Доставка через фейковые финстраницы, включая поддельный сайт биржи WEEX, которые переводили посетителей на iOS и внедряли скрытый iFrame. Report
- Фингерпринтинг определял модель iPhone и версию iOS, затем запускал связку WebKit RCE и обход PAC для старта цепочки
- Один из RCE соответствует CVE‑2024‑23222; Apple закрыла уязвимость в iOS 17.3 от 22 января 2024 года. Report
Пейлоад и возможности
- На финальном этапе Coruna развёртывает стейджер, который GTIG называет PlasmaLoader или PLASMAGRID. Payload analysis
- Фокус — финансовая кража, а не классический мониторинг
- Возможности:
- Декодирование QR‑кодов из сохранённых изображений
- Поиск BIP39‑последовательностей и ключевых слов «backup phrase», «bank account», включая данные в Apple Memos
- Эксфильтрация найденных совпадений
Модули и цели
- Пейлоад модульный: GTIG наблюдала модули, которые хукали функции и siphon‑или чувствительные данные из мобильных кошельков:
- MetaMask
- Trust Wallet
- Uniswap Wallet
- Phantom
- Exodus
- Кошельки экосистемы TON, такие как Tonkeeper. First mention: TON. Targets
Митигирующие меры
- Coruna неэффективна против последней версии iOS; обновите устройство. Guidance
- Если обновление недоступно — включите режим блокировки (Lockdown Mode) в iOS
- Google добавила выявленные домены в Safe Browsing, чтобы снизить экспозицию пользователей. Guidance
Почему важно для криптоинвесторов
- Мобильные кошельки совмещают высокую стоимость активов с частым веб‑трафиком
- По данным GTIG, воронка «визит → компрометация» адаптируется под модель устройства и версию iOS
- Один просмотр страницы с уязвимого iPhone может привести к краже сид‑фразы. Risk profile