Хакеры атакуют владельцев iOS-устройств через фальшивые крипто-подарки: обнаружены эксплойты Coruna и DarkSword

Почему это событие важно?

Атака нацелена на устройства, которые традиционно считаются более защищёнными. iOS долгое время ассоциировалась с низким уровнем вредоносной активности. Но данная кампания показывает, что злоумышленники находят способы обходить встроенные механизмы безопасности. В зоне риска оказываются не только рядовые пользователи, но и сотрудники компаний, использующие личные смартфоны для работы.

Атакующие действуют по отработанной схеме. Они распространяют ссылки, которые обещают бесплатные токены или бонусы в популярных криптовалютах. Жертве предлагают перейти по URL и открыть его именно на мобильном устройстве, чтобы якобы активировать награду. Такие фразы подталкивают человека использовать целевой девайс. После перехода запускается цепочка сбора информации о системе.

Сначала скрипт на странице определяет IP-адрес устройства. Для этого используются сторонние сервисы вроде ipv4.icanhazip.com. Затем сайт считывает версию операционной системы, тип и версию браузера, а также полный идентификатор user agent. Все эти данные позволяют понять, какое именно устройство используется, и подобрать подходящий эксплойт.

Собранную информацию отправляют на сервер управления и контроля, обычно называемый C2 (такие серверы используются злоумышленниками для удалённого управления заражёнными системами). Например, в одном из обнаруженных случаев запрос уходил на адрес 8df9[.]cc. При этом в строке запроса присутствовал уникальный код отслеживания, позволяющий атакующим отличать одну жертву от другой.

После получения данных о системе сервер принимает решение о доставке полезной нагрузки. Если все условия проверки оказываются соблюдены, на устройство отправляется второй этап атаки. Исполнение происходит через функцию Function constructor в JavaScript. Такой метод загрузки кода сложнее обнаружить с помощью автоматических средств анализа.

Эксперты обнаружили не только стандартные сценарии, но и индикаторы компрометации, связанные с удалённым выполнением кода - RCE (remote code execution, то есть дистанционный запуск произвольных команд). Эти индикаторы включают проверку конкретных уязвимых версий iOS. Для каждой из них злоумышленники подготовили отдельный пакет эксплойта. Данный механизм является частью цепочки доставки вредоносного набора DarkSword.

Что означают эти технические детали?

На практике атакующие имеют возможность полностью захватить контроль над устройством. Они могут получить доступ к личным данным, переписке, банковским приложениям и криптокошелькам. Учитывая, что жертвы сами добровольно открывают ссылку, никаких дополнительных подтверждений от пользователя не требуется. Эксплойты срабатывают автоматически.

Особенность кампании - использование двух разных наборов. Coruna известен как эксплойт, нацеленный на устаревшие версии браузеров и систем. DarkSword представляет более современный инструментарий, нацеленный на конкретные уязвимости в iOS. Комбинируя их, преступники повышают процент успешных заражений.

Какие последствия ждут пострадавших?

В первую очередь - кража данных и финансовые потери. Вредоносная нагрузка может установить на устройство стилеры или программы для слежки. Также возможна загрузка дополнительных модулей, которые закрепляются в системе (persistence). Это позволяет злоумышленникам возвращаться к жертве даже после перезагрузки.

Для обычного пользователя iOS атака остаётся незаметной до тех пор, пока не проявятся признаки компрометации. Например, необычный расход трафика или появление незнакомых приложений. Однако многие жертвы обнаруживают проблему только после того, как с их счетов исчезают средства.

Что делать специалистам по безопасности?

Необходимо обновить свои реестры индикаторов компрометации. Включить в мониторинг URL-адреса, подобные 8df9[.]cc, и сигнатуры JavaScript-кода, использующего Function constructor для загрузки второго этапа. Также важно отслеживать активность, связанную с запросами к ipv4.icanhazip.com из подозрительных контекстов.

Кроме того, стоит усилить обучение сотрудников. Основной вектор атаки - социальная инженерия через обещание крипто-подарков. Если пользователь не перейдёт по ссылке, эксплойт не сработает. Поэтому профилактика остаётся ключевым элементом защиты.

Пока исследователи не опубликовали полный список уязвимых версий iOS, используемых в цепочке DarkSword. Но можно предположить, что речь идёт о нескольких старых версиях, для которых уже вышли исправления. Администраторам корпоративных устройств рекомендуют принудительно обновлять прошивки до актуальных.

Эта кампания - очередное напоминание о том, что даже экосистема Apple не застрахована от целенаправленных атак. Владельцам iOS-устройств стоит быть особенно внимательными к непрошеным предложениям бесплатных криптовалют. Единственный способ гарантированно избежать заражения - никогда не открывать подозрительные ссылки на своём мобильном устройстве.

IPv4

• 185.236.228.33

Domains

• 0cncoxi.com
• a8xvwus.com
• abtsport.com
• albssssex1.com
• albssssex10.com
• albssssex2.com
• albssssex3.com
• albssssex4.com
• albssssex5.com
• albssssex6.com
• albssssex7.com
• albssssex8.com
• albssssex9.com
• aodtvsport.com
• bl5i2ye.com
• boqegh.com
• cnssssex1.com
• cnssssex10.com
• cnssssex2.com
• cnssssex3.com
• cnssssex4.com
• cnssssex5.com
• cnssssex6.com
• cnssssex7.com
• cnssssex8.com
• cnssssex9.com
• cryptonews1.com
• cryptonews2.com
• cryptonews3.com
• cryptonews4.com
• cryptonews5.com
• daily137.com
• daily144.com
• daily171.com
• daily208.com
• daily231.com
• daily238.com
• daily413.com
• daily527.com
• daily635.com
• daily799.com
• dominonew.onaylarim.com
• elitepeptides.de
• enssssex1.com
• enssssex10.com
• enssssex2.com
• enssssex3.com
• enssssex4.com
• enssssex5.com
• enssssex6.com
• enssssex7.com
• enssssex8.com
• enssssex9.com
• gs0z3fu.com
• gwpsport.com
• i.uuu.today
• ingvwjke.com
• iphone-status.online
• jbkw4rq.com
• koasghg.com
• ktlsptgvrd.openscore.tw
• maspffjg.com
• naohgnw.com
• naosihf.com
• newsforcrypto1.com
• newsforcrypto2.com
• newsforcrypto3.com
• newsforcrypto4.com
• newsforcrypto5.com
• njq78r2.com
• nxciiqg.com
• openscore.my
• openscore.tw
• opgbnf.com
• oskac.et7y5vzgl.top
• ozwcosport.com
• pick-your-gift.store
• plu0s23.com
• qeogn.com
• qognq.com
• qogwn.com
• ravib.pages.dev
• sooie.shop
• supachok-lazycat.pages.dev
• tradingviews.app
• transcecly.com
• vbe8jqu.com
• wer3qfo.com
• zhishiku88.com

URLs

• 172.238.175.209/DarkSword-RCE
• 172.238.175.209/DarkSword-RCE/frame.html?0.044582414702667106
• aodtvsport.com/?utm%5fmedium=paid%26utm%5fsource=ig%26utm%5fid=120245284707070264%26utm%5fcontent=120245284797520264%26utm%5fterm=120245284707020264%26utm%5fcampaign=120245284707070264%26fbclid=PAZXh0bgNhZW0BMABhZGlkAasyc12GcthzcnRjBmFwcF9pZA8xMjQwMjQ1NzQyODc0MTQAAafxu6CwmBtMy7AyB9bY9lLPEtepA7HJs13tXqalZPmWRb%5f%5fwdhQhf9nTWVm-g%5faem%5fXpyTrCKhPy9pP-3XanzYQA
• https://8df9.cc/api/ip-sync/sync
• https://greatweeeeb.com/static/report.html
• info.datakontext.com/i/16BmNCfZ_lY66ILT3NGLO_JTxZdn_iZs
• transcecly.com/rce%5floader.js?1775075448418
• transcecly.com/rce%5floader.js?1775075496638

SHA256

• 13c4af7a03636b84b583c95be3625f0eed84ec9086907d4081bc8749d575c1fa
• fe500c68b48d164340d5f9671875900835cda5087a44b45663dab7deda89e8ea