Коруна: Загадочное путешествие мощного iOS эксплойт-кита

Группа анализа угроз Google (GTIG) обнаружила эксплойт-кит "Coruna", нацеленный на устройства iOS. Этот кит включал 23 эксплойта, затрагивающих версии iOS с 13.0 по 17.2.1, с использованием сложных методов. Впервые обнаруженный в 2025 году, кит использовался поставщиком услуг наблюдения, затем предполагаемой российской группой и, наконец, китайской группой, мотивированной финансовой выгодой. Это распространение указывает на активный рынок эксплойтов нулевого дня. Кит использует JavaScript-фреймворк для снятия отпечатков устройств и загрузки соответствующих эксплойтов, включая RCE WebKit. Эти эксплойты включают CVE-2024-23222, CVE-2022-48503 и CVE-2023-43000. Кит Coruna также содержит модули для обхода функций смягчения последствий. Конечной полезной нагрузкой является стагер под названием PlasmaLoader, который внедряется в powerd для кражи финансовых данных. Полезная нагрузка нацелена на криптовалютные кошельки, извлекая данные, а также загружает дополнительные модули. Эти модули сосредоточены на краже информации из различных криптовалютных приложений, о чем свидетельствуют записи в журналах на китайском языке. Пользователям iPhone настоятельно рекомендуется обновить свои устройства или включить режим блокировки.