Набор инструментов Coruna для взлома iPhone оказался в руках киберпреступников
Исследователи обнаружили распространение набора инструментов Coruna для взлома iPhone. Сначала его использовал клиент компании-разработчика программ слежки для государственных заказчиков; анализ кода показал, что инструмент может быть связан с кибероперациями США. Позднее он оказался в распоряжении различных групп злоумышленников и начал применяться как в кибершпионских, так и в мошеннических атаках.
Исследователи выявили распространение набора инструментов Coruna, предназначенного для взлома смартфонов iPhone. Инструмент использует уязвимости в операционной системе iOS и позволяет атакующему получить контроль над устройством, если пользователь просто открывает зараженный сайт. Он способен атаковать устройства с версиями iOS от 13.0 до 17.2.1.
Coruna использует 23 уязвимости в iOS, объединенные в пять различных способов атаки на устройство. После загрузки вредоносной страницы код автоматически определяет модель устройства и версию iOS, выбирает подходящую комбинацию уязвимостей и выполняет атаку без дополнительных действий со стороны пользователя.
Эксперты сделали вывод, что инструмент использует несколько этапов компрометации — от удаленного выполнения кода в браузере WebKit до повышения привилегий в системе и обхода механизмов изоляции приложений. Такая комбинация позволяет злоумышленникам получить полный контроль над устройством.
Отслеживание активности Coruna показало, что сначала этот инструмент использовался клиентом компании, разрабатывающей средства цифрового наблюдения для государственных заказчиков. Позднее тот же набор был обнаружен в атаках на украинские сайты, где его применяла группа UNC6353, связанная с кибершпионскими операциями.
К концу 2025 года инструмент оказался у преступных групп. Исследователи обнаружили его на сети поддельных сайтов, связанных с криптовалютами и финансовыми сервисами. Посетителям таких страниц автоматически доставлялся вредоносный код, который позволял взломать устройство.
В этих кампаниях после заражения на устройство устанавливался модуль PlasmaLoader. Он внедряется в системные процессы iOS и пытается получить доступ к криптовалютным кошелькам и другим финансовым данным пользователя.
По оценкам исследователей, только финансово мотивированные злоумышленники могли скомпрометировать около 42 тыс. устройств — значительное число для атак на платформу iOS, где вредоносные операции обычно носят более точечный характер.
Анализ кода также выявил признаки сходства Coruna с инструментами, ранее связывавшимися с кибероперациями США. Исследователи отмечают, что структура фреймворка и стиль комментариев в коде напоминают разработки, использовавшиеся в операциях, которые ранее приписывались американским спецслужбам.
Специалисты отмечают, что распространение Coruna может свидетельствовать о появлении теневого рынка так называемых «вторичных» эксплойтов — когда инструменты, разработанные для целевых операций наблюдения, со временем попадают к другим участникам рынка и начинают использоваться в массовых атаках.
Читайте также
