Гугл Відділ розвідки загроз (GTIG) у середу опублікував звіт, у якому розкрито, що новий інструментарій для експлуатації вразливостей iPhone під назвою Coruna був розгорнутий у масштабних шахрайських операціях з криптовалютами. Компанія з кібербезпеки iVerify повідомила, що інструментарій Coruna можливо походить від уряду США і після виходу з-під контролю був використаний опонентами та кіберзлочинними групами для шахрайства з криптовалютами.
Аналіз технічних характеристик Coruna: як цілеспрямовано красти криптогаманці
(Джерело: Mandiant)
Coruna використовує технологію JavaScript для ідентифікації відвідувачів фальшивих сайтів на пристроях iOS, автоматично запускаючи експлойти вразливостей після визначення цільової версії. Після проникнення у пристрій, інструментарій систематично шукає такі типи конфіденційної інформації:
Крипто-мнемоніки: активне сканування локальних текстових файлів з ключовими словами «backup phrase» та «seed phrase»
Популярні крипто-додатки: цілеспрямовано націлюється на децентралізовані гаманці, такі як Uniswap і MetaMask, для витягання ключів або даних облікових записів
Фінансові дані: одночасно шукає банківські рахунки та інші чутливі платіжні дані
GTIG підтвердив, що Coruna несумісний із останньою версією iOS, і настійно рекомендує всім користувачам iPhone негайно оновити систему. Ті, хто не може оновити, мають увімкнути режим «Lockdown Mode», який, за словами Apple, ефективно захищає від високотехнологічних цілеспрямованих атак.
Від розвідки до шахрайських сайтів: дві шляхи поширення Coruna
GTIG виявив, що Coruna пройшов через два різні етапи використання. Спочатку, ймовірно, російські розвідки через зламані українські сайти цілеспрямовано доставляли інструментарій користувачам iPhone у певних регіонах, що є типовими ознаками розвідувальної діяльності.
У грудні 2025 року GTIG виявив у великій мережі фальшивих китайських фінансових сайтів той самий фреймворк JavaScript, включно з підробкою криптовалютної біржі WEEX. Коли користувачі iOS заходили на ці фальшиві сайти, інструментарій автоматично витягував фінансову інформацію у фоновому режимі, зосереджуючись на крипто-мнемоніках, що становить безпосередню загрозу фінансовій безпеці та перетворює знаряддя розвідки у масштабний інструмент шахрайства з криптовалютами.
Дискусії щодо походження: чи це інструменти уряду США чи комерційне шпигунське ПЗ?
Найбільш спірним аспектом цієї події є потенційне походження Coruna. Співзасновник iVerify Rocky Cole у розмові з WIRED заявив, що цей інструментарій «дуже складний, розроблений за мільйони доларів і має характерні ознаки модулів, які вже були приписані уряду США», і припустив, що це може бути «перший випадок, коли інструмент уряду США виходить з-під контролю та використовується опонентами та кіберзлочинцями».
Однак головний дослідник з безпеки компанії Kaspersky висловив іншу думку, зазначивши, що їхня компанія «не виявила жодних доказів повторного використання коду у вже опублікованих звітах», що підтримують цю версію. GTIG також не розкрив у звіті ідентифікацію клієнта, який нібито першим використовував Coruna для моніторингу, тому питання походження залишається відкритим.
Поширені питання
Чи вплине Coruna на останні версії iPhone?
GTIG підтвердив, що п’ять ланцюгів експлуатації вразливостей Coruna спрямовані на iOS від 13.0 до 17.2.1, і не сумісні з останньою версією iOS. Усім користувачам iPhone рекомендується негайно оновити систему, а хто не може — увімкнути «Lockdown Mode» для зменшення ризиків.
Як Google виявив, що Coruna використовується для шахрайства з криптовалютами?
У лютому 2025 року GTIG ідентифікував частину коду інструментарію, що збігалася з JavaScript-фреймворком на зламаних українських сайтах, а згодом виявив його у масштабних фальшивих китайських сайтах, що імітували біржу WEEX. Це підтвердило, що інструментарій перейшов від розвідувальної діяльності до масштабного шахрайства з криптовалютами.
Як захистити крипто-мнемоніки від крадіжки цим інструментарієм?
Крім негайного оновлення iOS, рекомендується зберігати мнемоніки на повністю офлайн-носіях, таких як апаратні гаманці або паперові резервні копії, уникати збереження у відкритому вигляді на підключених до мережі пристроях і двічі перевіряти достовірність сайтів перед входом у фінансові сервіси.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Законопроєкт Теннессі про стратегічний біткоїн-резерв просувається до слухання у Сенатському фінансовому комітеті 20 квітня
Законопроєкт Теннессі про стратегічний біткоїн-резерв просувається до слухання у Сенатському фінансовому комітеті 20 квітня, наближаючись до можливого ухвалення як закону.
GateNews1год тому
Circle Faces Class Action Lawsuit Over $230M Unblocked USDC in Drift Protocol Attack
Circle стикається з колективним позовом через те, що не заблокувала $230 мільйонів викрадених USDC після атаки на Drift Protocol. Позивачі стверджують, що протоколи Circle дозволили нападникам переміщати та конвертувати викрадені кошти без втручання, що викликає занепокоєння щодо відповідальності компанії за моніторинг кросчейн-переказів.
GateNews2год тому
Gate щоденник (17 квітня): X Money Маска натрапляє на перешкоди нью-йоркського крипторегулювання; Yuga Labs призначає нового CEO
Біткоїн(BTC)без змін відносно 74,920 долара, набрала чинності угода про припинення вогню між Ізраїлем і Ліваном, Трамп заявив, що Іран погодився не мати ядерної зброї. Міцубісі-банк попередив, що X Money Маска може постраждати через нью-йоркське регулювання криптовалют. Yuga Labs змінила генерального директора: Грег Солано перейшов на посаду голови наглядової ради, Майкл Фігг очолив компанію. Ринок загалом налаштований оптимістично: з’явився найбільший за 10 років приплив покупців біткоїна, що натякає на можливе наближення ціни до 90 тис. доларів.
MarketWhisper2год тому
Grinex зазнав зламу: призупинено торгівлю на 15 млн — стрілки спрямовано на «ворожу державу»
Криптобіржа Grinex у Киргизстані призупинила торгівлю та зняття коштів після масштабної кібератаки й втратила близько 15 млн доларів США USDT. Вкрадені кошти швидко були конвертовані у TRX та ETH, щоб знизити ризик замороження. Вважається, що Grinex є наступником підсанкційної біржі Garantex, ставши основною торговельною платформою для пар «рубль — криптовалюта». Заява про атаку Grinex вказує на «дії ворожої держави», але не має конкретних доказів.
MarketWhisper2год тому
Голова Банку Японії Уеда: конфлікт на Близькому Сході створює подвійний ризик зростання інфляції та економічного уповільнення
Голова Банку Японії Кадзуо Уеда підкреслив конфлікт на Близькому Сході як джерело ризиків інфляції та економічного уповільнення. Він підтвердив, що Комітет з монетарної політики визначить відповідні заходи для досягнення цільового показника інфляції 2% на майбутній зустрічі.
GateNews2год тому
Трамп оголосив про припинення вогню між Ізраїлем і Ліваном, біткоїн знову торгується біля 7,5 万 доларів США
17 квітня, біткоїн повернувся до рівня 75,000 доларів США, Дональд Трамп оголосив про 10-денну угоду про припинення вогню між Ізраїлем і Ліваном, що підвищило ринкові настрої. Водночас звіт CryptoQuant показує, що частка великих депозитів різко зросла до понад 40%, що може свідчити про підготовку установ до продажу. Крім того, біткоїн у діапазоні 76,000–76,800 доларів США стикається з ключовим технічним опором, а ринок і надалі зберігає обережне ставлення до подальшого розвитку подій.
MarketWhisper3год тому
