Гугл Відділ розвідки загроз (GTIG) у середу опублікував звіт, у якому розкрито, що новий інструментарій для експлуатації вразливостей iPhone під назвою Coruna був розгорнутий у масштабних шахрайських операціях з криптовалютами. Компанія з кібербезпеки iVerify повідомила, що інструментарій Coruna можливо походить від уряду США і після виходу з-під контролю був використаний опонентами та кіберзлочинними групами для шахрайства з криптовалютами.
Аналіз технічних характеристик Coruna: як цілеспрямовано красти криптогаманці
(Джерело: Mandiant)
Coruna використовує технологію JavaScript для ідентифікації відвідувачів фальшивих сайтів на пристроях iOS, автоматично запускаючи експлойти вразливостей після визначення цільової версії. Після проникнення у пристрій, інструментарій систематично шукає такі типи конфіденційної інформації:
Крипто-мнемоніки: активне сканування локальних текстових файлів з ключовими словами «backup phrase» та «seed phrase»
Популярні крипто-додатки: цілеспрямовано націлюється на децентралізовані гаманці, такі як Uniswap і MetaMask, для витягання ключів або даних облікових записів
Фінансові дані: одночасно шукає банківські рахунки та інші чутливі платіжні дані
GTIG підтвердив, що Coruna несумісний із останньою версією iOS, і настійно рекомендує всім користувачам iPhone негайно оновити систему. Ті, хто не може оновити, мають увімкнути режим «Lockdown Mode», який, за словами Apple, ефективно захищає від високотехнологічних цілеспрямованих атак.
Від розвідки до шахрайських сайтів: дві шляхи поширення Coruna
GTIG виявив, що Coruna пройшов через два різні етапи використання. Спочатку, ймовірно, російські розвідки через зламані українські сайти цілеспрямовано доставляли інструментарій користувачам iPhone у певних регіонах, що є типовими ознаками розвідувальної діяльності.
У грудні 2025 року GTIG виявив у великій мережі фальшивих китайських фінансових сайтів той самий фреймворк JavaScript, включно з підробкою криптовалютної біржі WEEX. Коли користувачі iOS заходили на ці фальшиві сайти, інструментарій автоматично витягував фінансову інформацію у фоновому режимі, зосереджуючись на крипто-мнемоніках, що становить безпосередню загрозу фінансовій безпеці та перетворює знаряддя розвідки у масштабний інструмент шахрайства з криптовалютами.
Дискусії щодо походження: чи це інструменти уряду США чи комерційне шпигунське ПЗ?
Найбільш спірним аспектом цієї події є потенційне походження Coruna. Співзасновник iVerify Rocky Cole у розмові з WIRED заявив, що цей інструментарій «дуже складний, розроблений за мільйони доларів і має характерні ознаки модулів, які вже були приписані уряду США», і припустив, що це може бути «перший випадок, коли інструмент уряду США виходить з-під контролю та використовується опонентами та кіберзлочинцями».
Однак головний дослідник з безпеки компанії Kaspersky висловив іншу думку, зазначивши, що їхня компанія «не виявила жодних доказів повторного використання коду у вже опублікованих звітах», що підтримують цю версію. GTIG також не розкрив у звіті ідентифікацію клієнта, який нібито першим використовував Coruna для моніторингу, тому питання походження залишається відкритим.
Поширені питання
Чи вплине Coruna на останні версії iPhone?
GTIG підтвердив, що п’ять ланцюгів експлуатації вразливостей Coruna спрямовані на iOS від 13.0 до 17.2.1, і не сумісні з останньою версією iOS. Усім користувачам iPhone рекомендується негайно оновити систему, а хто не може — увімкнути «Lockdown Mode» для зменшення ризиків.
Як Google виявив, що Coruna використовується для шахрайства з криптовалютами?
У лютому 2025 року GTIG ідентифікував частину коду інструментарію, що збігалася з JavaScript-фреймворком на зламаних українських сайтах, а згодом виявив його у масштабних фальшивих китайських сайтах, що імітували біржу WEEX. Це підтвердило, що інструментарій перейшов від розвідувальної діяльності до масштабного шахрайства з криптовалютами.
Як захистити крипто-мнемоніки від крадіжки цим інструментарієм?
Крім негайного оновлення iOS, рекомендується зберігати мнемоніки на повністю офлайн-носіях, таких як апаратні гаманці або паперові резервні копії, уникати збереження у відкритому вигляді на підключених до мережі пристроях і двічі перевіряти достовірність сайтів перед входом у фінансові сервіси.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
ЗС США підтвердили роботу біткоїн-нодів, командувач у Індо-Тихоокеанському регіоні: BTC має потенціал «державного рівня безпекового активу»
Командувач Тихоокеансько-азійського командування Збройних сил США адмірал Паперо на слуханнях підтвердив, що підрозділи проводять безпекові тести та працюють з вузлами в мережі біткоїна, зосереджуючись на криптографії, блокчейні та доказі виконання роботи, розглядаючи біткоїн як стратегічний актив для підтримання національної безпеки. Це перший випадок у Збройних силах США, коли публічно біткоїн визначають як інструмент для національної безпеки, що показує перехід біткоїна від фінансового активу до застосування на рівні держави; водночас залишаються непоприлюднені конфіденційні матеріали.
ChainNewsAbmedia1хв. тому
Ескалація ситуації на Близькому Сході? Держдепартамент США терміново закликає громадян: негайно залишити Іран, Ліван
Напруженість на Близькому Сході зростає. Державний департамент США попередив, що громадяни США, які перебувають в Ірані та Лівані, мають негайно покинути ці країни, насамперед скориставшись комерційними рейсами; також можна розглянути виїзд суходолом. Частково відновлено роботу повітряного простору Ірану, тож людям потрібно швидко евакуюватися та стежити за місцевими новинами; ситуація в Лівані складна, і неодмінно слід виїхати під час доступності комерційних авіарейсів. Блінкен закликав зареєструватися в STEP, уряд допоможе з орендою чартерних рейсів і звільнить від плати за евакуацію. Азійські акції падають, а біткоїн опустився нижче 78K.
ChainNewsAbmedia11хв. тому
Президент Перу призначив нового міністра оборони після відставок посадовців через суперечку щодо американських військових літаків
Президент Перу призначив Амадео Флореса Карканіо міністром оборони після відставок Карлоса Діаса та Уго Десери, після того як уряд відмовився купувати американські військові літаки.
Анотація: У цій статті повідомляється, що президент Перу Хосе Барко Варгас призначив Амадео Флореса Карканіо міністром оборони 22 квітня після відставок Карлоса Діаса та Уго Десери. Відставки сталися після рішення уряду не купувати американські військові літаки.
GateNews30хв. тому
FSA Японії просуває перекласифікацію криптоактивів до закону про фінансові інструменти, запускає три пілотні проєкти платіжних розрахунків зі стейблкоїнами
Повідомлення Gate News, 23 квітня — Японське агентство фінансових послуг (FSA) подало до Парламенту законопроєкт із пропозицією перекласифікувати криптоактиви з Платіжного закону на Закон про фінансові інструменти та біржову діяльність, згідно зі словами Сіґеру Сімідзу, директора підрозділу ризик-аналізу FSA
GateNews1год тому
Державний департамент США наказав американським громадянам залишити Іран, оскільки повітряний простір частково відновили
Повідомлення Gate News, 23 квітня — Бюро у справах консульських питань Державного департаменту США опублікувало заяву 22 квітня із закликом до американських громадян в Ірані негайно виїхати після часткового відновлення Іраном роботи свого повітряного простору.
Бюро порадило громадянам США стежити за місцевими ЗМІ, щоб отримувати оновлення щодо ситуації, і звертатися до комерційних авіакомпаній за інформацією про рейси з Ірану. Крім того, американці можуть подорожувати суходолом до Вірменії, Азербайджану, Туреччини та Туркменістану, але мають уникати районів, що межують із Афганістаном, Іраком або Пакистаном.
GateNews1год тому
Військові США працюють вузол Bitcoin для тестування кібербезпеки, адмірал Папаро підтверджує
Повідомлення Gate News, 23 квітня — адмірал Семюел Папаро, командувач Тихоокеанським командуванням США, заявив перед Конгресом, що уряд США експлуатує вузол мережі Bitcoin для тестування, пов’язаного з кібербезпекою, але не бере участі в майнінгу. Папаро зазначив, що військові розглядають Bitcoin як
GateNews3год тому
