Google 威脅研究人員表示,他們發現了一種針對蘋果 iPhone 用戶的新型漏洞工具包,旨在竊取加密錢包助記詞。
根據 Google 威脅情報組(GTIG)週三在一份報告中表示,這套名為“Coruna”的工具包由其開發者命名,針對運行 iOS 13.0 到 17.2.1 版本的 iPhone 裝置。“該工具包包含五套完整的 iOS 漏洞鏈,總計 23 個漏洞”,其中包括先前未被公開的新漏洞。
該組織稱,最早是在 2025 年 2 月發現此工具包,之後持續追蹤發現,該工具被一支疑似俄羅斯間諜組織用於攻擊烏克蘭人,隨後又出現在偽造的中國加密貨幣網站上,目的是竊取加密資產。
GTIG 表示,該工具包無法在最新 iOS 版本上運作,並敦促 iPhone 用戶儘快將裝置升級至最新系統。如無法更新,應啟動“鎖定模式”,蘋果方面稱此模式可以抵禦高級攻擊。
攻擊工具透過虛假網站鎖定加密資產
GTIG 稱,其在 2025 年 2 月接觸到部分 iOS 漏洞利用的線索,為一家監控公司客戶所用,透過 JavaScript fingerprinting 技術識別裝置,進而下發相應漏洞攻擊程式碼。
同年晚些時候,研究人員在多個遭入侵的烏克蘭地區網站上發現了相同的 JavaScript 框架,並指出該框架“僅向來自特定地理位置的特定 iPhone 用戶投遞”。
GTIG 隨後表示,於 12 月在“規模龐大的虛假中國財經類網站”上發現了相同框架,其中包括一家假冒加密貨幣交易所 WEEX 的網站。
當用戶使用 iOS 裝置瀏覽這些網站時,框架便會投遞攻擊工具包,並蒐集金融資訊,包括分析含有助記詞、如“備份短語”或“銀行帳戶”等關鍵字的文字內容。
攻擊工具還會搜尋流行的加密應用,包括 Uniswap 和 MetaMask,以竊取加密資產或敏感資訊。
Coruna 是否源自美國情報部門引發爭議
GTIG 並未點名該監控公司客戶。不過,行動安全公司 iVerify 向 WIRED 透露,該工具包可能由美國政府開發或採購。
iVerify 聯合創辦人 Rocky Cole 對 WIRED 表示:(該工具包高度複雜,開發成本高達數百萬美元,並具有其他已被公開歸屬於美國政府模組的典型特徵。)
(這是我們首次看到極可能屬於美國政府工具的實例——根據程式碼所顯示的資訊——失控後被我們的對手和網路犯罪團伙共同利用。)
然而,卡巴斯基的首席安全研究員告訴 The Register,未在公開報告中發現足以支撐將 Coruna 歸因於同一作者的實際程式碼複用證據。
