Группа угроз информационной безопасности Google (GTIG) опубликовала в среду отчет, в котором раскрыта новая эксплойт-кампания для iPhone под названием Coruna, используемая в масштабных мошеннических схемах с криптовалютами. Компания по обеспечению кибербезопасности iVerify сообщила, что этот инструментальный пакет Coruna, вероятно, исходит от правительства США и после выхода из-под контроля был использован противниками и киберпреступными группами для мошенничества с криптовалютами.
Технический разбор инструментария Coruna: как целенаправленно похищать криптокошельки
(Источник: Mandiant)
Coruna использует технологию JavaScript для определения отпечатков устройств iOS, посещающих поддельные сайты. После определения целевой версии системы автоматически запускается эксплойт-скрипт. В случае взлома устройства, инструментальный пакет систематически ищет следующую чувствительную информацию:
- Мнемонические фразы для криптовалют: активное сканирование локальных текстовых файлов, содержащих ключевые слова «backup phrase» и «seed phrase»
- Популярные криптоприложения: нацеливание на децентрализованные кошельки, такие как Uniswap и MetaMask, для извлечения ключей или данных аккаунтов
- Финансовые аккаунты: одновременный поиск информации о банковских счетах и других платежных данных
GTIG подтвердил, что Coruna несовместима с последней версией iOS, и настоятельно рекомендует всем пользователям iPhone немедленно обновить систему. Пользователи, не способные обновиться, должны включить режим «Lockdown Mode» (режим блокировки), который, по словам Apple, эффективно защищает от сложных целевых атак.
Две линии распространения Coruna: от разведывательных операций к мошенническим сайтам
Отслеживание GTIG показало, что инструментальный пакет Coruna прошел через два совершенно разных этапа использования. Изначально, предположительно, российские разведывательные организации через взломанные украинские сайты нацеливали инструмент на пользователей iPhone в определенных регионах, что характерно для разведывательных операций.
В декабре 2025 года GTIG обнаружил на масштабной группе фальшивых китайских финансовых сайтов тот же JavaScript-фреймворк, включая поддельный сайт, имитирующий криптовалютную биржу WEEX. Когда пользователи iOS посещали эти поддельные сайты, инструмент автоматически собирал финансовую информацию в фоновом режиме, при этом приоритет отдавался мнемоническим фразам криптокошельков, что создавало прямую угрозу финансовой безопасности и превращало изначально разведывательный инструмент в масштабную мошенническую схему с криптовалютами.
Вопросы о происхождении: инструмент, предположительно, от правительства США, или коммерческое шпионское ПО?
Самым спорным аспектом этого инцидента является возможное происхождение Coruna. Соучредитель iVerify Rocky Cole заявил WIRED, что этот инструмент «очень сложен, разработан за миллионы долларов и содержит характерные признаки модулей, ранее публично приписываемых американскому правительству», и предположил, что это может быть «случай, когда инструмент правительства США впервые вышел из-под контроля и был использован противниками и киберпреступными группами».
Однако ведущий исследователь безопасности в Kaspersky выразил иное мнение, заявив, что их компания «не обнаружила в опубликованных отчетах никаких доказательств повторного использования кода», что поддержало бы такую гипотезу. GTIG также не раскрыл в отчете напрямую информацию о клиенте, якобы использовавшем Coruna впервые, что оставляет вопрос о происхождении открытым.
Часто задаваемые вопросы
Может ли Coruna повлиять на последние версии iPhone?
GTIG подтвердил, что все 5 цепочек эксплойтов Coruna нацелены на версии iOS от 13.0 до 17.2.1 и несовместимы с самой последней версией iOS. Всем пользователям iPhone рекомендуется немедленно обновить систему. Пользователи, не способные обновиться, должны включить режим «Lockdown Mode» для снижения риска.
Как Google обнаружил, что Coruna используется в мошенничестве с криптовалютами?
В феврале 2025 года GTIG выявил часть кода инструмента, которая совпадала с JavaScript-фреймворком на взломанных украинских сайтах. Позже, при мониторинге масштабных фальшивых китайских сайтов, имитирующих биржу WEEX, было обнаружено полное развертывание инструмента, что подтвердило его переход от разведывательных целей к масштабным мошенническим схемам с криптовалютами.
Как защитить мнемонические фразы криптокошельков от кражи этим инструментом?
Помимо немедленного обновления iOS, рекомендуется хранить мнемонические фразы в полностью офлайн-устройствах холодного хранения (например, аппаратных кошельках или бумажных резервных копиях). Не храните мнемоники в открытом виде на подключенных к сети устройствах и дважды проверяйте подлинность всех криптовалютных сайтов, чтобы избежать посещения источников с подозрительной репутацией.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
США вводят санкции против криптокошельков, связанных с Ираном; Tether замораживает $344M USDT во взаимодействии с OFAC
Сообщение Gate News, 25 апреля — Министерство финансов США 24 апреля санкционировало несколько криптовалютных кошельков, связанных с Ираном, в рамках усилий по усилению экономического давления на страну на фоне продолжающегося режима прекращения огня. Министр финансов Скотт Бессент заявил, что правительство будет "следовать за деньгами"
GateNews23м назад
Закон о ясности сталкивается со сроком в мае 2026 года на фоне противодействия в банковском лобби запрету доходности стейблкоинов
Сообщение Gate News, 25 апреля — Закон о ясности, ключевой законопроект о регулировании криптовалют в США, сталкивается со все усиливающимся давлением, поскольку сенатор Том Тиллис рекомендовал отложить рассмотрение в комитете Сената по банковскому делу до мая 2026 года, ссылаясь на интенсивное лоббирование со стороны Ассоциации банкиров Северной Каролины (NCBA). NCBA добивается полного запрета на доходность стейблкоинов, предупреждая, что даже активностно обусловленные вознаграждения, разрешенные в текущем проекте, могут спровоцировать отток депозитов в стейблкоины.
GateNews58м назад
Глава Центрального банка России: цифровой рубль для мониторинга средств госфонда, обязательного личного использования нет
Сообщение Gate News, 25 апреля — Глава Центрального банка России Эльвира Набиуллина заявила, что основная цель цифрового рубля — автоматизировать мониторинг расходов по государственным контрактам, заменив существующие ручные процедуры проверки. Она уточнила, что прозрачность цифрового рубля эквивалентна текущей системе безналичного рубля и что мониторинг личных платежей является недопониманием инициативы. Она уточнила, что прозрачность цифрового рубля эквивалентна
GateNews6ч назад
США вводят санкции против криптокошельков, связанных с Ираном; Tether замораживает $344M USDT
Министр финансов США Скотт Бессент в пятницу объявил, что федеральное правительство вводит санкции в отношении нескольких кошельков, связанных с Ираном, в рамках усилий президента Дональда Трампа по усилению экономического давления на страну на фоне продолжающегося прекращения огня, сообщает CNN. Действие следует за
CryptoFrontier6ч назад
Трамп говорит, что США могли бы сэкономить $159B одной поправкой в решении Верховного суда по тарифам
Сообщение Gate News, 25 апреля — президент США Дональд Трамп раскритиковал решение Верховного суда по тарифам в социальных сетях, заявив, что страна могла бы сэкономить $159 миллиардов, если бы суд включил единственную оговорку: «США не обязаны возвращать уже выплаченные средства». Трамп утверждал, что компании и
GateNews8ч назад
41 крипто-похищение во Франции за 3,5 месяца; Дуров винит утечки данных
Сообщение Gate News, 24 апреля — во Франции за всего 3,5 месяца 2026 года, по словам Павла Дурова, основателя Telegram, произошло 41 похищение держателей криптовалюты, он связал всплеск с повсеместными утечками данных. Дуров отметил в публикации на X, что конфиденциальные персональные данные, включая сведения, находящиеся у налоговых органов, и информацию из крупного взлома во Французском агентстве по безопасным документам, раскрыли примерно имена, адреса и номера телефонов 19 миллионов человек, делая держателей цифровых активов более удобными целями.
Во Франции власти подтвердили, что с января 2026 года зафиксировано более 40 похищений крипто-держателей или попыток похищений, что означает резкий рост по сравнению с примерно 30 случаями в 2025 году. По словам Филиппа Шадри, представителя французской судебной полиции, схема действий и методы выбора жертв различаются: многие операции координируются сетями, работающими за рубежом. Инциденты варьируются от кратковременных похищений до жестоких случаев с пытками и требованиями выкупа. В одном недавнем случае в Бургундии похитили женщину и ее 11-летнего сына, а затем их освободили после крупномасштабной полицейской операции. В другом случае в Англеже подозреваемые ошибочно похитили не тех людей, прежде чем их арестовали. В 2025 году видного деятеля криптоиндустрии Давида Баллана похитили, а затем отрезали ему палец, прежде чем его спасли.
Французские прокуроры предъявили обвинения уже 88 лицам в связи с крипто-ориентированными похищениями, включая несовершеннолетних как минимум в дюжине случаев. Дуров предупредил, что расширение доступа правительства к цифровым идентификаторам и зашифрованным коммуникациям может ухудшить ситуацию, если системы будут скомпрометированы, хотя его утверждение о том, что налоговые чиновники напрямую продают данные, остается неподтвержденным.
Кризис утечки данных выходит за рамки похищений. Группы по защите данных во Франции сообщают о миллионах скомпрометированных записей в нескольких утечках, затрагивающих государственные службы и частные компании. По словам Себа, президента Французской федерации по защите данных, Франция готовится стать второй по количеству взломов страной в мире в 2026 году: более 300 французских сервисов затронуты, 23 миллиона аккаунтов скомпрометированы, и более 250 миллионов записей данных раскрыты. France Titres ANTS в одиночку увидел(а) более 11,7 миллиона раскрытых аккаунтов, а Государственное агентство по платежам и услугам утекло банковские реквизиты и номера социального страхования миллионов французских граждан.
Крипто-ориентированные похищения обычно следуют схеме: жертв идентифицируют как людей, владеющих цифровыми активами, похищают и под давлением принуждают к переводу средств. В отличие от традиционных банковских счетов, криптовалютные кошельки можно получить мгновенно, если раскрыты приватные ключи или пароли, что делает их привлекательными целями для вымогательства. Между тем Bitcoin за последние 30 дней вырос почти на 10%, торгуясь по $77,601 на момент публикации, тогда как Ethereum снизился на 5% за неделю и торгуется по $2,315.
GateNews9ч назад
