Google раскрывает уязвимость WebKit Apple: затрагивает iOS 13~17.2.1, примерно 42 000 iPhone превращены в "банкоматы"

IT之家 4 марта сообщает, что сегодня (4 марта) Google опубликовала статью, в которой раскрыла набор инструментов для взлома iPhone с кодовым названием Coruna, способный влиять на модели iPhone, работающие под управлением iOS 13–17.2.1. Доказательства показывают, что эти инструменты уже попали в руки иностранных шпионов и киберпреступников.

Google отмечает, что данный набор инструментов в настоящее время эффективен только для версий iOS 13.0 (выпущенной в сентябре 2019 года) до 17.2.1 (выпущенной в декабре 2023 года), а в iOS 18 Apple уже исправила уязвимости.

Набор Coruna включает пять полных цепочек эксплуатации уязвимостей iOS, всего 23 эксплойта, его основное достоинство — интеграция различных закрытых методов эксплуатации уязвимостей и обхода мер защиты.

IT之家 цитирует описание из статьи и информацию, обнаруженную группой угроз Google Threat Intelligence Group (GTIG):

• Впервые следы этого набора были обнаружены в начале 2025 года, когда он использовался для целевых атак;
• В том же году летом появились доказательства, что шпионская организация UNC6353 использовала этот набор для проведения «водопадных атак» (watering hole attacks), внедряя скрытые iFrame на скомпрометированные сайты для распространения вредоносного кода;
• В конце 2025 года UNC6691 развернула тот же набор в рамках масштабных операций. Злоумышленники создали множество фальшивых сайтов, связанных с финансовыми и криптовалютными транзакциями, чтобы заманить пользователей к использованию iOS-устройств и похитить активы, вызывая уязвимости.

В технической архитектуре Coruna использует JavaScript-фреймворк для идентификации устройств, после чего осуществляется запуск удалённых эксплойтов WebKit (RCE) и обхода системы аутентификации по указателю (PAC).

Конечный загрузчик цепочки атак называется «PlasmaLoader» (отслеживается GTIG как PLASMAGRID). Он внедряется в системные процессы и сканирует криптовалютные кошельки на устройстве (например, MetaMask, Trust Wallet), похищая мнемонические фразы и приватные ключи.

Данные показывают, что только в рамках коммерческих атак было взято около 42 тысяч устройств, используемых для кражи криптовалют и личных данных. Анализ кода свидетельствует о высокой профессиональной подготовке разработчика, предполагается, что его создал один человек.

В ответ на эту угрозу Google добавила все связанные сайты и домены в список блокировки «Безопасный просмотр». GTIG подчёркивает, что Coruna не может взломать последние версии iOS. Поэтому пользователям iPhone рекомендуется немедленно обновить устройства до последней версии iOS, чтобы устранить риск.