Подозреваемое утечка инструментов правительства США! Google раскрывает новую схему мошенничества с криптовалютой и цепочку атак на iPhone

Группа угроз информационной безопасности Google (GTIG) опубликовала в среду отчет, в котором раскрыта новая эксплойт-кампания для iPhone под названием Coruna, используемая в масштабных мошеннических схемах с криптовалютами. Компания по обеспечению кибербезопасности iVerify сообщила, что этот инструментальный пакет Coruna, вероятно, исходит от правительства США и после выхода из-под контроля был использован противниками и киберпреступными группами для мошенничества с криптовалютами.

Технический разбор инструментария Coruna: как целенаправленно похищать криптокошельки

(Источник: Mandiant)

Coruna использует технологию JavaScript для определения отпечатков устройств iOS, посещающих поддельные сайты. После определения целевой версии системы автоматически запускается эксплойт-скрипт. В случае взлома устройства, инструментальный пакет систематически ищет следующую чувствительную информацию:

• Мнемонические фразы для криптовалют: активное сканирование локальных текстовых файлов, содержащих ключевые слова «backup phrase» и «seed phrase»
• Популярные криптоприложения: нацеливание на децентрализованные кошельки, такие как Uniswap и MetaMask, для извлечения ключей или данных аккаунтов
• Финансовые аккаунты: одновременный поиск информации о банковских счетах и других платежных данных

GTIG подтвердил, что Coruna несовместима с последней версией iOS, и настоятельно рекомендует всем пользователям iPhone немедленно обновить систему. Пользователи, не способные обновиться, должны включить режим «Lockdown Mode» (режим блокировки), который, по словам Apple, эффективно защищает от сложных целевых атак.

Две линии распространения Coruna: от разведывательных операций к мошенническим сайтам

Отслеживание GTIG показало, что инструментальный пакет Coruna прошел через два совершенно разных этапа использования. Изначально, предположительно, российские разведывательные организации через взломанные украинские сайты нацеливали инструмент на пользователей iPhone в определенных регионах, что характерно для разведывательных операций.

В декабре 2025 года GTIG обнаружил на масштабной группе фальшивых китайских финансовых сайтов тот же JavaScript-фреймворк, включая поддельный сайт, имитирующий криптовалютную биржу WEEX. Когда пользователи iOS посещали эти поддельные сайты, инструмент автоматически собирал финансовую информацию в фоновом режиме, при этом приоритет отдавался мнемоническим фразам криптокошельков, что создавало прямую угрозу финансовой безопасности и превращало изначально разведывательный инструмент в масштабную мошенническую схему с криптовалютами.

Вопросы о происхождении: инструмент, предположительно, от правительства США, или коммерческое шпионское ПО?

Самым спорным аспектом этого инцидента является возможное происхождение Coruna. Соучредитель iVerify Rocky Cole заявил WIRED, что этот инструмент «очень сложен, разработан за миллионы долларов и содержит характерные признаки модулей, ранее публично приписываемых американскому правительству», и предположил, что это может быть «случай, когда инструмент правительства США впервые вышел из-под контроля и был использован противниками и киберпреступными группами».

Однако ведущий исследователь безопасности в Kaspersky выразил иное мнение, заявив, что их компания «не обнаружила в опубликованных отчетах никаких доказательств повторного использования кода», что поддержало бы такую гипотезу. GTIG также не раскрыл в отчете напрямую информацию о клиенте, якобы использовавшем Coruna впервые, что оставляет вопрос о происхождении открытым.

Часто задаваемые вопросы

Может ли Coruna повлиять на последние версии iPhone?
GTIG подтвердил, что все 5 цепочек эксплойтов Coruna нацелены на версии iOS от 13.0 до 17.2.1 и несовместимы с самой последней версией iOS. Всем пользователям iPhone рекомендуется немедленно обновить систему. Пользователи, не способные обновиться, должны включить режим «Lockdown Mode» для снижения риска.

Как Google обнаружил, что Coruna используется в мошенничестве с криптовалютами?
В феврале 2025 года GTIG выявил часть кода инструмента, которая совпадала с JavaScript-фреймворком на взломанных украинских сайтах. Позже, при мониторинге масштабных фальшивых китайских сайтов, имитирующих биржу WEEX, было обнаружено полное развертывание инструмента, что подтвердило его переход от разведывательных целей к масштабным мошенническим схемам с криптовалютами.

Как защитить мнемонические фразы криптокошельков от кражи этим инструментом?
Помимо немедленного обновления iOS, рекомендуется хранить мнемонические фразы в полностью офлайн-устройствах холодного хранения (например, аппаратных кошельках или бумажных резервных копиях). Не храните мнемоники в открытом виде на подключенных к сети устройствах и дважды проверяйте подлинность всех криптовалютных сайтов, чтобы избежать посещения источников с подозрительной репутацией.