Группа угроз информационной безопасности Google (GTIG) опубликовала в среду отчет, в котором раскрыта новая эксплойт-кампания для iPhone под названием Coruna, используемая в масштабных мошеннических схемах с криптовалютами. Компания по обеспечению кибербезопасности iVerify сообщила, что этот инструментальный пакет Coruna, вероятно, исходит от правительства США и после выхода из-под контроля был использован противниками и киберпреступными группами для мошенничества с криптовалютами.
Технический разбор инструментария Coruna: как целенаправленно похищать криптокошельки
(Источник: Mandiant)
Coruna использует технологию JavaScript для определения отпечатков устройств iOS, посещающих поддельные сайты. После определения целевой версии системы автоматически запускается эксплойт-скрипт. В случае взлома устройства, инструментальный пакет систематически ищет следующую чувствительную информацию:
- Мнемонические фразы для криптовалют: активное сканирование локальных текстовых файлов, содержащих ключевые слова «backup phrase» и «seed phrase»
- Популярные криптоприложения: нацеливание на децентрализованные кошельки, такие как Uniswap и MetaMask, для извлечения ключей или данных аккаунтов
- Финансовые аккаунты: одновременный поиск информации о банковских счетах и других платежных данных
GTIG подтвердил, что Coruna несовместима с последней версией iOS, и настоятельно рекомендует всем пользователям iPhone немедленно обновить систему. Пользователи, не способные обновиться, должны включить режим «Lockdown Mode» (режим блокировки), который, по словам Apple, эффективно защищает от сложных целевых атак.
Две линии распространения Coruna: от разведывательных операций к мошенническим сайтам
Отслеживание GTIG показало, что инструментальный пакет Coruna прошел через два совершенно разных этапа использования. Изначально, предположительно, российские разведывательные организации через взломанные украинские сайты нацеливали инструмент на пользователей iPhone в определенных регионах, что характерно для разведывательных операций.
В декабре 2025 года GTIG обнаружил на масштабной группе фальшивых китайских финансовых сайтов тот же JavaScript-фреймворк, включая поддельный сайт, имитирующий криптовалютную биржу WEEX. Когда пользователи iOS посещали эти поддельные сайты, инструмент автоматически собирал финансовую информацию в фоновом режиме, при этом приоритет отдавался мнемоническим фразам криптокошельков, что создавало прямую угрозу финансовой безопасности и превращало изначально разведывательный инструмент в масштабную мошенническую схему с криптовалютами.
Вопросы о происхождении: инструмент, предположительно, от правительства США, или коммерческое шпионское ПО?
Самым спорным аспектом этого инцидента является возможное происхождение Coruna. Соучредитель iVerify Rocky Cole заявил WIRED, что этот инструмент «очень сложен, разработан за миллионы долларов и содержит характерные признаки модулей, ранее публично приписываемых американскому правительству», и предположил, что это может быть «случай, когда инструмент правительства США впервые вышел из-под контроля и был использован противниками и киберпреступными группами».
Однако ведущий исследователь безопасности в Kaspersky выразил иное мнение, заявив, что их компания «не обнаружила в опубликованных отчетах никаких доказательств повторного использования кода», что поддержало бы такую гипотезу. GTIG также не раскрыл в отчете напрямую информацию о клиенте, якобы использовавшем Coruna впервые, что оставляет вопрос о происхождении открытым.
Часто задаваемые вопросы
Может ли Coruna повлиять на последние версии iPhone?
GTIG подтвердил, что все 5 цепочек эксплойтов Coruna нацелены на версии iOS от 13.0 до 17.2.1 и несовместимы с самой последней версией iOS. Всем пользователям iPhone рекомендуется немедленно обновить систему. Пользователи, не способные обновиться, должны включить режим «Lockdown Mode» для снижения риска.
Как Google обнаружил, что Coruna используется в мошенничестве с криптовалютами?
В феврале 2025 года GTIG выявил часть кода инструмента, которая совпадала с JavaScript-фреймворком на взломанных украинских сайтах. Позже, при мониторинге масштабных фальшивых китайских сайтов, имитирующих биржу WEEX, было обнаружено полное развертывание инструмента, что подтвердило его переход от разведывательных целей к масштабным мошенническим схемам с криптовалютами.
Как защитить мнемонические фразы криптокошельков от кражи этим инструментом?
Помимо немедленного обновления iOS, рекомендуется хранить мнемонические фразы в полностью офлайн-устройствах холодного хранения (например, аппаратных кошельках или бумажных резервных копиях). Не храните мнемоники в открытом виде на подключенных к сети устройствах и дважды проверяйте подлинность всех криптовалютных сайтов, чтобы избежать посещения источников с подозрительной репутацией.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Министр обороны Израиля заявил, что вывоз обогащенного урана из Ирана является условием для прекращения конфликта
Министр обороны Израиля Кац объявил, что военные действия Израиля, включая «12-дневную войну» против Ирана в 2025 году, разрушили ядерную программу Ирана. США и Израиль требуют вывода обогащенного урана в качестве условия прекращения региональных военных операций.
GateNews2ч назад
МВФ снизил прогноз роста мировой экономики на 2026 год до 3,1%, а основным сдерживающим фактором стали боевые действия на Ближнем Востоке
Новость от Gate News, 14 апреля, Международный валютный фонд (IMF) опубликовал последний выпуск «World Economic Outlook Report», снизив прогноз роста мировой экономики на 2026 год на 0.2 процентного пункта до 3.1%. В отчете указано, что ближневосточный конфликт уже существенно повлиял на текущий импульс роста мировой экономики. Если боевые действия и высокие цены на нефть сохранятся дольше, то темпы роста мировой экономики в этом году снизятся до 2.5% или даже ниже.
GateNews4ч назад
Науру назначает криптопредпринимателя Dadvan Yousuf уполномоченным по международной торговле, продвигая стратегию цифровых активов
Науру назначил криптового предпринимателя Дадвана Юсуфа международным торговым уполномоченным, чтобы продвигать стратегию цифровых активов, привлекать глобальные инвестиции, укреплять сотрудничество с провайдерами виртуальных услуг и технологическими компаниями, а также способствовать тому, чтобы Науру стал центром виртуальных активов.
GateNews7ч назад
Рейтер: делегации США и Ирана проведут переговоры на более поздней неделе в Пакистане
Новости от Gate News, 14 апреля, Рейтер со ссылкой на источники сообщает, что представители США и Ирана проведут переговоры в столице Пакистана Исламабаде ближе к концу этой недели.
GateNews10ч назад
Найджел Фарадж вложил 2 млн фунтов стерлингов в биткоин, став первым в Великобритании публично владеющим криптовалютой депутатом
Лидер Партии реформ Великобритании Найджел Фараж приобрёл биткоин примерно на 2 млн фунтов стерлингов, став первым действующим членом парламента, публично раскрывшим инвестиции такого масштаба. Этот шаг демонстрирует поддержку его партии криптовалютам и может вызвать обсуждения влияния на криптополиитику Великобритании и возможного конфликта интересов. Фараж осуществлял инвестиции через Stack BTC, усиливая одновременно политическую и финансовую легитимность.
MarketWhisper11ч назад
Американские банки выражают сомнения в отчётах Белого дома о доходности стейблкоинов, опасаясь рисков оттока депозитов
Американский банковский сектор подверг критике отчет администрации Белого дома о доходности стейблкоинов, полагая, что в отчете игнорируется влияние стейблкоинов на отток средств со счетов вкладчиков, что может привести к росту стоимости финансирования и сокращению объемов локального кредитования. В настоящее время обе стороны ведут переговоры по законопроекту в Сенате, а запрет на выплаты процентов по стейблкоинам является главным предметом спора.
GateNews12ч назад
