Источник изображения: Desola Lanre-Ologun / unsplash.com

В последних версиях iOS 26 компания Apple исправила эксплуатируемые схемой Coruna уязвимости — методы атаки подтверждены для устройств под управлением iOS версий от 13 до 17.2.1. Эксплойты запускаются на фреймворке Apple Webkit, то есть уязвимы устройства под управлением устаревших версий браузера Safari — успешные атаки на браузер Chrome и его производные подтвердить не удалось. В ходе выполнения кода Coruna, в частности, осуществляется проверка, включена ли на iPhone настройка безопасности Lockdown Mode — если она активна, атака прекращается.

Несмотря на эти ограничения, заражёнными оказались десятки тысяч смартфонов. При поддержке партнёра эксперты iVerify подсчитали число посещений одного из серверов, управляющих коммерческой версией Coruna, которая атакует устройства китаеязычных пользователей — по этим данным, были взломаны около 42 000 устройств. Количество жертв прочих кампаний Coruna подсчитать не удалось. Эксперты проанализировали исходный вариант кода атаки и его модифицированную версию, направленную на кражу средств из криптовалютных кошельков, кражу фотографий с устройств и электронных писем. Собственный код эксплойта написан на очень высоком уровне, отметили в iVerify, а выполняющие кражу данных модули «написаны плохо».

Есть версия, что источником утечки стали представители отрасли брокеров, которые могут платить десятки миллионов долларов за рабочие схемы взлома систем с эксплуатацией уязвимостей нулевого дня. Далее эти схемы продаются для шпионажа, киберпреступной деятельности или кибервойн. Ведущие такой бизнес лица, как правило, недобросовестны, указывают эксперты, — они готовы продавать сведения тем, кто заплатит больше, и эксклюзивных соглашений они не заключают, привлекая к сделкам по нескольку покупателей.