Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

За последний год по рынку «погулял» довольно редкий зверь — полноценный набор iOS-эксплойтов, который сначала засветился в коммерческой слежке, затем всплыл в шпионских кибератаках, а в финале оказался у киберпреступников. Об этом рассказали исследователи из Google Threat Intelligence Group (GTIG): набор они называют Coruna, в нём лежат 23 эксплойта.

Самое неприятное — Coruna не требует от жертвы чего-то сложного: достаточно обычного веб-контента (условно, зайти на страницу в Safari), чтобы запустить цепочку, которая приводит к удалённому выполнению кода и выходу за пределы «песочницы» браузера.

По данным Google, комплект рассчитан на iPhone с iOS 13.0-17.2.1 — то есть начиная с релиза 2019 года и вплоть до конца 2023-го.

В феврале 2025 года Google поймала фрагменты цепочки. Летом 2025-го тот же фреймворк всплыл в атаках типа watering hole на украинских сайтах, Google связывает это с UNC6353. А под конец 2025 года Coruna «приземлилась» на большой пачке фейковых китайских сайтов про финансы / крипту, где уже работала на массовую аудиторию (тут исследователи смогли вытащить полный комплект).

Отдельно впечатляет «качество продукта». Google отмечает, что эксплойты снабжены подробной документацией и комментариями на хорошем английском, а самые продвинутые части используют непубличные техники эксплуатации и обхода защит. В списке уязвимостей есть и CVE, и баги без CVE — например, в набор входят эксплойты на WebKit вроде CVE-2024-23222, CVE-2022-48503 и CVE-2023-43000, а также компоненты, пересекающиеся с уязвимостями из «Операции “Триангуляция”» (включая CVE-2023-32434 и CVE-2023-38606).

Но главная интрига — чем всё это заканчивается на устройстве. По описанию GTIG, финальный загрузчик (PlasmaLoader/PLASMAGRID) выглядит не как «классическая» шпионская история, а как инструмент именно под кражу денег: он умеет, например, декодировать QR-коды из изображений, искать в заметках ключевые слова вроде «backup phrase» и «bank account», а затем подтягивать модули для выкачивания данных из криптокошельков (в списке — MetaMask и много других популярных приложений).

Параллельно свой разбор опубликовала iVerify, там акцент ещё жёстче: исследователи пишут, что в их наблюдениях цепочки не выглядели целенаправленными (без одноразовых ссылок и сложного отбора), а значит, заразиться мог любой, кто зашёл на сайт с уязвимой версией iOS. Они же выложили индикаторы компрометации (IoC) и описали, какие артефакты остаются на устройстве и в сетевом трафике.

Хорошая новость: Google прямо говорит, что Coruna не работает на актуальной iOS, поэтому базовый совет максимально скучный и максимально эффективный — обновиться. Если обновление по какой-то причине недоступно, GTIG рекомендует включить Lockdown Mode; более того, сам набор, по описанию Google, вообще старается «не исполняться» в Lockdown Mode и при приватном просмотре.

Telegram снял предупреждающую плашку с аккаунтов, использовавших Телегу

Telegram перестал помечать специальной плашкой аккаунты, которые использовали сторонний клиент Телега. Такая метка появилась в мессенджере в конце марта на фоне скандала вокруг Телеги.

На изменение обратил внимание телеграм-канал «Код Дурова». Тогда сообщалось, что в клиенте нашли признаки MITM-перехвата трафика.

Проще говоря, возникли подозрения, что переписки и данные пользователей могли проходить не совсем тем маршрутом, на который они рассчитывали.

История быстро стала неприятной для проекта. Через несколько дней Cloudflare пометил рабочие домены Телеги как шпионские. Затем у альтернативного клиента отозвали TLS-сертификат, после чего приложение удалили из App Store. Разработчики Телеги позже подали иск в ФАС к Apple.

Теперь плашка исчезла, произошло это примерно через неделю после закрытия проекта Телега. Разработчики сообщили о прекращении его существования, в том числе из-за внешних ограничений со стороны технологических платформ.

Формально исчезновение метки не означает, что все вопросы к истории с Телегой закрыты. Скорее Telegram убрал предупреждение после того, как сам клиент фактически сошёл со сцены.

Но сюжет получился показательный: сторонние клиенты мессенджеров могут выглядеть удобной альтернативой, пока внезапно не всплывают вопросы к маршруту трафика, сертификатам и тому, кто вообще стоит между пользователем и его перепиской.

RSS: Новости на портале Anti-Malware.ru