Google предупреждает: новый эксплоит Coruna атакует iPhone для кражи seed-фраз

Исследователи из Google Threat Intelligence Group (GTIG) обнаружили мощный эксплоит-кит под названием Coruna, нацеленный на пользователей iPhone с целью похищения seed-фраз криптокошельков. Комплекс включает пять полноценных цепочек эксплуатаций iOS и в общей сложности 23 отдельных уязвимости, включая ранее неизвестные «нулевые дни». Атака уже использовалась как против украинских активистов, так и в массовых фишинговых кампаниях через поддельные криптобиржи.

🔍 Как работает атака?

Сначала жертва попадает на поддельный сайт, имитирующий криптобиржу (например, WEEX). При заходе с iPhone скрытый JavaScript-фреймворк:

1. Анализирует модель устройства и версию iOS
2. Определяет геолокацию и поведение пользователя
3. Загружает подходящую цепочку эксплуатаций из арсенала Coruna

После компрометации система начинает сканировать устройство на наличие:

• Seed-фраз и ключевых слов вроде «backup phrase»
• Установленных кошельков (MetaMask, Uniswap, Phantom)
• Финансовых сообщений и банковских данных

«Самая опасная уязвимость — та, что не требует клика. Она работает, пока вы просто смотрите на страницу», — Брюс Шнайер, эксперт по кибербезопасности.

🌍 Цели и происхождение

Первоначально Coruna использовался российской разведкой против украинцев в феврале 2025 года. Позже тот же фреймворк был обнаружен на десятках поддельных китайских финансовых сайтов, ориентированных на криптоинвесторов.

Компания iVerify предположила, что инструментарий мог быть разработан или закуплен правительством США, указывая на признаки, характерные для других официальных эксплоитов. Однако Kaspersky не нашла прямых доказательств такой связи.

🛡️ Как защититься?

Google и Apple рекомендуют:

• Немедленно обновить iOS до последней версии — Coruna не работает на актуальных сборках
• Включить Lockdown Mode — он блокирует сложные векторы атаки, включая JavaScript-инъекции
• Не переходить по ссылкам из соцсетей, email или мессенджеров
• Использовать отдельное устройство для хранения криптоактивов

📉 Контекст: рост целевых атак на iOS

По данным Mandiant, в 2025–2026 годах число эксплоитов под iOS выросло на 210%. Причины:

• Высокая концентрация богатых пользователей среди владельцев iPhone
• Рост числа DeFi-приложений с доступом к приватным ключам
• Упрощение разработки эксплоит-китов благодаря ИИ

Coruna — не единственный пример. В 2025 году был раскрыт проект Operation Triangulation, затронувший тысячи устройств через iMessage.

🔮 Будущее: гонка вооружений между шпионами и пользователями

Эксплоиты уровня Coruna стоят миллионы долларов и обычно используются государствами. Однако их утечка в криминальную среду делает их доступными для мошенников.

Как отметил исследователь из iVerify: «Это первый случай, когда инструменты, созданные, вероятно, для спецслужб, начали использоваться против обычных людей».

💡 Заключение: безопасность начинается с обновления

Неважно, насколько надёжен ваш аппаратный кошелёк — если seed-фраза хранится в заметках на iPhone, вы уязвимы. Coruna напоминает: единственная защита от нулевых дней — это своевременное обновление ОС.

Потому что в мире, где атака длится доли секунды, ваша бдительность — последняя линия обороны.