Coruna - новият iOS експлойт комплект

Coruna – новият iOS експлойт комплект

23 неизвестни досега уязвимости за iOS 13–17.2.1 използвани за кражба на криптовалути и чувствителни данни

Google Threat Intelligence Group разкри съществуването на експлойт комплект с кодово име Coruna, използван от множество киберпрестъпници и вероятни национални разузнавателни структури. Комплектът съдържа 23 експлойти, включително пет пълни вериги за компрометиране на iOS версии от 13.0 до 17.2.1, с техники за заобикаляне на защитите и недокументирани функции на хардуера на Apple.

Хронология на разпространението

Февруари 2025 – Coruna е засечен при активност на клиент на търговски шпионски софтуер, доставен чрез JavaScript рамка и уязвимост CVE-2024-23222 в WebKit, позволяваща дистанционно изпълнение на код.
Лято 2025 – Руско свързани хакери, проследявани като UNC6353, използват комплекта за „watering hole“ атаки срещу украински сайтове за търговия, индустриални и локални услуги.
Късно 2025 – Coruna се появява на фалшиви китайски хазартни и крипто сайтове, според Google, дейността е свързана с финансово мотивирания UNC6691.

Технически характеристики на Coruna

Комплектът включва:

WebKit RCE – дистанционно изпълнение на код чрез браузър
PAC bypasses – заобикаляне на Pointer Authentication Code
Sandbox escape – излизане от защитената среда на приложението
Kernel privilege escalation – повишаване на привилегиите
PPL bypass – заобикаляне на Page Protection Layer

Експлойтите разпознават версията на iOS и устройството и избират подходящата верига за атака. Активиране на Lockdown Mode или private browsing спира изпълнението на фреймуърка.

Доставяне на зловреден софтуер: PlasmaLoader и PlasmaGrid

След успешен експлойт, финалният стейджер PlasmaLoader, наричан още PlasmaGrid, се инжектира в iOS root daemon ‘powerd’.

Характеристики на зловредния софтуер:

Не функционира като класически шпионски софтуер; вместо това се фокусира върху криптовалутни портфейли (MetaMask, Phantom, Exodus, BitKeep, Uniswap)
Краде BIP39 recovery фрази, текстови низове като „backup phrase“, банкови данни и информация от Apple Memos
Данните се криптират с AES и се изпращат на hardcoded C2 адреси
За устойчивост се използва DGA алгоритъм със seed „lazarus“, генериращ .xyz домейни

Комерсиализация на експлойтите

GTIG подчертава, че разпространението на Coruna от целенасочени шпионски операции към масови финансово-мотивирани кампании показва пазар за „вторични“ zero-day експлойти.

Първоначално Coruna е бил ограничен до използване от surveillance vendors за целеви операции срещу високоценни цели
Сега същите технологии се използват срещу обикновени потребители на iPhone, включително крипто инвеститори

Според iVerify, това е „един от най-ясните примери за експлойт, преминал от шпионски софтуер към масови киберпрестъпления“.

Препоръки за защита

Актуализирайте iOS до последната версия (над 17.3)
Ако обновление не е възможно, активирайте Lockdown Mode
Избягвайте посещението на подозрителни крипто и финансови сайтове
Следете за индикатори за компрометиране (IoC) предоставени от Google GTIG

Google е добавил всички свързани сайтове и домейни към Safe Browsing, за да предотврати допълнителни атаки.

#Coruna, # GTIG, # iOS експлойти, # PlasmaGrid, # крипто портфейли

e-security.bg

Подобни

Украинeц се призна за виновен за участие в операциите на Conti ransomware

15.06.2026

Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер

14.06.2026

ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft

14.06.2026

Фалшиви FIFA сайтове крадат банкови карти и кодове за потвърждение

13.06.2026

Miasma: Опасната еволюция на Shai-Hulud заплашва екосистемата с отворен код

12.06.2026

GitHub ограничава автоматичното изпълнение на код при инсталиране на пакети

12.06.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"