Google 发现了一套名为 Coruna 的黑客工具包,可在毫无察觉的情况下入侵 iPhone,并通过针对主流钱包应用(如 MetaMask、Phantom、Trust Wallet)窃取加密资产。
此次攻击无需用户任何操作,仅需在未打补丁的 iPhone 上访问被劫持或伪造的网站,即可自动感染设备。
事件影响:
- 运行 iOS 17.2.1 及更早版本的 iPhone 目前仍存在高风险;Apple 直至 2024 年 1 月发布的 iOS 17.3 才修复了相关漏洞。
- 工具包会扫描设备中的备忘录和信息,搜索诸如“助记词”、“backup phrase”等敏感关键词,从而无需密码即可窃取完整钱包权限。
- Coruna 工具包针对 18 款加密应用,包括 MetaMask、Phantom、Exodus、Trust Wallet、Uniswap 等主流钱包,用户面临直接资产被盗的高风险。
具体细节:
- Google 威胁情报小组(GTIG)宣称,从数百个伪造金融和加密交易所网站(包括一个假冒的 WEEX 交易所)获取了完整的 Coruna 工具包。
- 2025 年夏季,一支疑似俄罗斯间谍组织曾利用该工具,通过受攻击的本地企业网站,对乌克兰 iPhone 用户发起定向攻击。
- 随后,一家中国境内以牟利为目标的黑产团伙大规模在诈骗网站传播该工具,Google 因此获得了完整工具包并命名为 Coruna。
- 在 iPhone 设置中启用“封锁模式”,可以彻底阻止攻击。Coruna 工具包会自动检测该模式,并停止运行。
宏观视角:
- Coruna 工具包先后流向情报监控公司、国家支持的俄罗斯组织及中国金融犯罪集团,显示强力黑客工具在二手黑市正加速流通。
- Coruna 中两项漏洞利用技术,早前已被用于 Kaspersky 披露的 2023 年“Operation Triangulation” iOS 间谍行动,凸显高级攻击手法常在不同威胁团伙之间反复利用。
