Автор: Max, криптове місто
Від елітних інструментів на рівні державного контролю до «збирачів активів»
Згідно з глибоким звітом групи Google Threat Intelligence Group (GTIG), уразливий набір для iOS під кодовою назвою Coruna (також відомий як CryptoWaters) становить серйозну загрозу для користувачів iPhone по всьому світу. Цей інструмент має драматичний шлях розвитку: у лютому 2025 року він був вперше виявлений і використовувався приватною компанією для моніторингу політиків і опозиційних діячів на замовлення уряду. Пізніше, влітку 2025 року, хакерська група UNC6353, пов’язана з російським урядом, взяла під контроль цей набір і використовувала його для геополітичної розвідки проти громадян України.
Джерело зображення: Google | Хронологія виявлення Coruna
З поширенням технологій цей високотехнологічний інструмент, розроблений за мільйони доларів, офіційно потрапив на ринок кіберзлочинності. Наприкінці 2025 року — на початку 2026 — китайська хакерська група UNC6691 отримала цей інструмент і переключила фокус атак на крадіжку цифрових активів. Це означає, що високорівневі шпигунські інструменти стали товаром, і замість цілеспрямованого збору розвідки вони тепер використовуються для масового пограбування криптовалютних власників. Дослідники зазначають, що високі витрати на технології свідчать про величезний потенційний прибуток від криптоактивів, що спонукає професійних хакерів до фінансових злочинів.
23 вразливості у ланцюжку: мовчазне проникнення за «водопійною ямою»
Coruna має високий рівень автоматизації та прихованості, у ньому інтегровано 23 окремі вразливості, що формують 5 повних ланцюгів атак. Обсяг ураження широкий — від iOS 13.0 до iOS 17.2.1 на всіх iPhone та iPad. Хакери використовують тактику «Watering Hole Attack» — приховані атаки через проникнення або створення фальшивих криптовалютних бірж і фінансових сайтів для заманювання жертв. Ці сайти, наприклад, підроблена платформа WEEX, майже не відрізняються від офіційних, і навіть використовують SEO та платну рекламу для підвищення видимості.
Джерело зображення: Google | Підроблена платформа для торгівлі WEEX
Коли користувач iPhone заходить на ці заражені сторінки, фоновий скрипт негайно виконує ідентифікацію пристрою. Система безшумно перевіряє версію iOS, і якщо вона входить у зону атаки, автоматично активується уразливість Zero-click — проникнення без будь-яких дій користувача або натискань. Деякі підроблені сайти навіть самі пропонують користувачам переглядати через iOS-пристрій, стверджуючи, що це покращить досвід, але насправді це цільова атака на вразливі системи, що не оновлені.
Навіть скріншоти у фотогалереї не врятують
Якщо Coruna отримує доступ до пристрою, активується зловмисне програмне забезпечення PlasmaLoader, яке починає сканувати цифрові активи користувача. Ця програма має потужні можливості сканування: вона шукає ключові слова, наприклад «backup phrase», «bank account» або «seed phrase», і витягує важливі дані з SMS та нотаток. Крім того, вона здатна автоматично аналізувати скріншоти у фотогалереї, шукаючи QR-коди з приватними ключами або мнемонічними фразами.
Окрім статичних даних, Coruna атакує популярні додатки для криптогаманців, такі як MetaMask і Uniswap. Хакери намагаються витягти конфіденційну інформацію для повного контролю над гаманцями. У багатьох випадках жертви втрачали кошти вже через короткий час після відвідування підроблених сайтів. Оскільки атаки мають системний рівень доступу, будь-який слід приватного ключа, залишений у пристрої, не уникне збору цієї шпигунської системи.
Джерело зображення: Google | Google перераховує всі можливі додатки, які можуть бути атаковані зловмисним ПЗ
Захисні поради та рекомендації? Оновлення системи — ключ до безпеки
У відповідь на складні високотехнологічні загрози користувачам iPhone слід вживати чітких заходів безпеки. Згідно з доповіддю Google, Coruna повністю неефективна проти iOS 17.3 і новіших версій. Хоча системи вже оновлені, багато користувачів через застарілі пристрої або недостатній вільний простір не оновлюють їх, що ставить їх під ризик. Для старих моделей, які не можуть оновитися до безпечних версій, рекомендується активувати «Режим блокування (Lockdown Mode)», який Apple пропонує для підвищення безпеки. Якщо зловмисне ПЗ виявить цей режим, воно припинить роботу, щоб уникнути виявлення.
Фахівці з кібербезпеки радять криптовладальникам дотримуватися базових правил безпеки. Найкращий захист — використовувати апаратний гаманець (наприклад, Ledger або Trezor), щоб приватні ключі залишалися офлайн і не контактували з iOS. Також слід негайно видалити всі скріншоти з мнемонічними фразами або приватними ключами з фотогалереї і зробити резервні копії офлайн.
Хоч Coruna і намагається уникнути режиму приватного перегляду для зменшення шансів виявлення, це лише тимчасовий захід. У сучасних умовах зростання цінності цифрових активів підтримка оновлень і підвищена обізнаність щодо безпеки — це обов’язки кожного інвестора.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
AI16Z, ELIZAOS: авторів позивають через звинувачення у шахрайстві на $2,6 млрд; обвал токенів на 99,9% від піку
Федеральний колективний позов звинувачує AI16Z/ELIZAOS у криптовому шахрайстві на $2,6 млрд через фейкові твердження про ШІ та оманливий маркетинг, стверджуючи внутрішні преференції та інсценовану автономну систему; вимагає відшкодування збитків за законами про захист прав споживачів.
Анотація: Цей звіт охоплює федеральний колективний позов у SDNY, поданий 21 квітня, що звинувачує AI16Z та його перейменування ELIZAOS у криптовому шахрайстві на $2,6 млрд із використанням фейкових заяв про ШІ та оманливого маркетингу. У справі стверджується про змодельований зв’язок із Andreessen Horowitz та про неавтономну систему. У ній описано пікову оцінку на початку 2025 року, обвал на 99,9% та приблизно 4 000 гаманців, що зазнали збитків, при цьому інсайдери отримували близько 40% нових токенів. Позивачі вимагають відшкодування збитків і справедливого (еквітного) захисту за законами Нью-Йорка та Каліфорнії про захист прав споживачів. Регулятори в Кореї та великі біржі попереджали або призупиняли пов’язану торгівлю.
GateNews1год тому
Повідомлення від SlowMist: Активне шкідливе ПЗ macOS MacSync Stealer, що націлене на користувачів криптовалюти
SlowMist попереджає про MacSync Stealer (v1.1.2) для macOS, який викрадає гаманці, облікові дані, зв’язки ключів (keychains) і ключі інфраструктури, використовуючи підроблені підказки AppleScript та фейкові повідомлення про «unsupported»; закликає до обережності й обізнаності щодо IOCs.
Анотація: Цей звіт підсумовує сповіщення SlowMist про MacSync Stealer (v1.1.2) — інформаційного викрадача для macOS, який націлений на криптовалютні гаманці, облікові дані браузера, системні keychains та ключі інфраструктури (SSH, AWS, Kubernetes). Він вводить користувачів в оману, показуючи підроблені діалоги AppleScript із запитами паролів та видимими фейковими повідомленнями «unsupported». SlowMist надає IOCs своїм клієнтам і радить уникати неперевірених скриптів для macOS та залишатися пильними щодо незвичних підказок пароля.
GateNews2год тому
Північнокорейська група Lazarus розгортає шкідливий застосунок Mach-O Man для викрадення облікових даних криптогаманців у користувачів macOS
Lazarus випускає Mach-O Man для macOS, щоб викрадати дані зв’язки ключів і облікові дані гаманця, націлюючись на крипто-виконавців через спливаючі вікна ClickFix та скомпрометовані зустрічі в Telegram.
Анотація: У статті повідомляється, що пов’язаний із Lazarus шкідливий застосунок Mach-O Man націлюється на macOS, щоб ексфільтрувати дані зв’язки ключів, облікові дані браузера та сеанси входу для доступу до криптовалютних гаманців і облікових записів бірж. Поширення ґрунтується на соціальній інженерії ClickFix та скомпрометованих облікових записах Telegram, які спрямовують жертв на підробні посилання на зустрічі. Матеріал пов’язує операцію з хаком Kelp DAO від 20 квітня та ідентифікує TraderTraitor як організацію, що афілійована з Lazarus, відзначаючи переміщення rsETH між блокчейнами за стандартом OFT платформи LayerZero.
GateNews2год тому
ZachXBT попереджає проти банкомату Bitcoin Depot із націнкою понад 44% до ціни біткоїна
ZachXBT попереджає, що банкомати Bitcoin Depot встановлюють завищені премії — $25k фіат за $108k/BTC проти ~$75k ринку (приблизно 44%), що призводить до ~ втрати $7,5k на 0,232 BTC; також зазначає про інцидент із порушенням безпеки на $3,26M.
Ця стаття узагальнює попередження ZachXBT щодо цінової практики Bitcoin Depot і нещодавнього порушення безпеки, підкреслюючи ризики для користувачів від завищених тарифів і збоїв у безпеці.
GateNews4год тому
Протокол приватності Umbra вимикає фронтенд, щоб заблокувати атакувальників від відмивання викрадених коштів Kelp
Повідомлення Gate News, 22 квітня — Протокол приватності Umbra вимкнув свій фронтенд-сайт, щоб не допустити атакувальників до використання протоколу для переказу вкрадених коштів після недавніх атак, зокрема інциденту з протоколом Kelp, який призвів до втрат понад $280 мільйонів. Близько $800,000 у викрадених коштах були переказані через Umbra,
GateNews6год тому
Slow Mist 23pds Попередження: Lazarus Group опублікувала новий набір інструментів для macOS, орієнтований на криптовалюти
Лукінь, головний директор з інформаційної безпеки Slow Mist 23pds, 22 квітня опублікував попередження, в якому заявив, що хакерська група Північної Кореї Lazarus Group випустила новий нативний шкідливий набір інструментів для macOS «Mach-O Man», спеціально націлений на криптовалютну індустрію та керівників високої цінності.
MarketWhisper7год тому
