Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

За последний год по рынку «погулял» довольно редкий зверь — полноценный набор iOS-эксплойтов, который сначала засветился в коммерческой слежке, затем всплыл в шпионских кибератаках, а в финале оказался у киберпреступников. Об этом рассказали исследователи из Google Threat Intelligence Group (GTIG): набор они называют Coruna, в нём лежат 23 эксплойта.

Самое неприятное — Coruna не требует от жертвы чего-то сложного: достаточно обычного веб-контента (условно, зайти на страницу в Safari), чтобы запустить цепочку, которая приводит к удалённому выполнению кода и выходу за пределы «песочницы» браузера.

По данным Google, комплект рассчитан на iPhone с iOS 13.0-17.2.1 — то есть начиная с релиза 2019 года и вплоть до конца 2023-го.

В феврале 2025 года Google поймала фрагменты цепочки. Летом 2025-го тот же фреймворк всплыл в атаках типа watering hole на украинских сайтах, Google связывает это с UNC6353. А под конец 2025 года Coruna «приземлилась» на большой пачке фейковых китайских сайтов про финансы / крипту, где уже работала на массовую аудиторию (тут исследователи смогли вытащить полный комплект).

Отдельно впечатляет «качество продукта». Google отмечает, что эксплойты снабжены подробной документацией и комментариями на хорошем английском, а самые продвинутые части используют непубличные техники эксплуатации и обхода защит. В списке уязвимостей есть и CVE, и баги без CVE — например, в набор входят эксплойты на WebKit вроде CVE-2024-23222, CVE-2022-48503 и CVE-2023-43000, а также компоненты, пересекающиеся с уязвимостями из «Операции “Триангуляция”» (включая CVE-2023-32434 и CVE-2023-38606).

Но главная интрига — чем всё это заканчивается на устройстве. По описанию GTIG, финальный загрузчик (PlasmaLoader/PLASMAGRID) выглядит не как «классическая» шпионская история, а как инструмент именно под кражу денег: он умеет, например, декодировать QR-коды из изображений, искать в заметках ключевые слова вроде «backup phrase» и «bank account», а затем подтягивать модули для выкачивания данных из криптокошельков (в списке — MetaMask и много других популярных приложений).

Параллельно свой разбор опубликовала iVerify, там акцент ещё жёстче: исследователи пишут, что в их наблюдениях цепочки не выглядели целенаправленными (без одноразовых ссылок и сложного отбора), а значит, заразиться мог любой, кто зашёл на сайт с уязвимой версией iOS. Они же выложили индикаторы компрометации (IoC) и описали, какие артефакты остаются на устройстве и в сетевом трафике.

Хорошая новость: Google прямо говорит, что Coruna не работает на актуальной iOS, поэтому базовый совет максимально скучный и максимально эффективный — обновиться. Если обновление по какой-то причине недоступно, GTIG рекомендует включить Lockdown Mode; более того, сам набор, по описанию Google, вообще старается «не исполняться» в Lockdown Mode и при приватном просмотре.

Ошибка в надбавке: мошенники разводят пенсионеров под видом Соцфонда

Мошенники придумали новую легенду для атак на пенсионеров. Теперь они звонят россиянам под видом сотрудников Социального фонда или банка и рассказывают о якобы технической ошибке при начислении июльских надбавок к пенсии.

Об этом РИА Новости сообщили в пресс-службе платформы «Мошеловка» Народного фронта.

Сценарий знакомый: человеку сообщают, что с выплатами возникла проблема, ссылаются на новые указы и требуют срочно всё подтвердить. Дальше аферисты просят назвать персональные данные, реквизиты банковской карты или коды из СМС.

Главная ставка здесь идёт на тревогу и спешку. Пенсионера пытаются убедить, что если он прямо сейчас не продиктует нужную информацию, деньги не начислят, надбавка пропадёт или выплату заблокируют. В общем, мошенники снова достают старый приём: сначала напугать, потом быстро вытащить данные.

В «Мошеловке» напоминают: настоящие сотрудники Социального фонда и банков не звонят гражданам с просьбой продиктовать коды из СМС, реквизиты карт или персональные данные для начисления выплат.

Если в разговоре появляется срочность, давление и просьба назвать код — это не забота о пенсии, а попытка залезть в кошелёк.

Эксперты советуют не принимать решения на эмоциях. Если звонок кажется подозрительным, лучше сразу прервать разговор и самостоятельно связаться с Социальным фондом или банком по официальным каналам. Потому что настоящая надбавка к пенсии не требует диктовать мошенникам ключи от своих денег.

RSS: Новости на портале Anti-Malware.ru