谷歌发现的一种复杂的新型黑客工具包将 iPhone 用户及其加密货币钱包置于危险之中。这种恶意软件被命名为 "Coruna",它能够以完全被动的方式感染 Apple 设备,只需访问一个被攻击的网站,然后从一些全球最流行的加密货币钱包应用程序中抽走资金。
Google 安全团队分析发现的这一威胁代表着网络攻击领域的一次危险飞跃,它将零点击漏洞的静默性和直接的金融目标结合在了一起。
隐形攻击:只需点击一下即可感染
Coruna 最令人担忧的特点是它能够在受害者没有任何互动的情况下运行。与需要点击恶意链接或下载受感染文件的传统网络钓鱼不同,该工具包利用的是 iOS 操作系统中的深层漏洞。
使用过期iPhone的用户只需登陆一个伪造或受损的网站即可触发感染。
Coruna 会静默扫描消息、笔记和其他 iPhone 文件,查找特定的文本字符串,如 "备份短语 "或 "恢复短语",以及 12 或 24 个单词。
谁在火线:18款应用面临风险
该攻击并非针对单一平台,而是针对整个去中心化金融应用程序群(DeFi)。根据谷歌的分析,有 18 款加密应用程序进入了 Coruna 的视线,其中包括行业巨头,如 MetaMask、Phantom、Exodus、Trust Wallet 和 Uniswap。
多重威胁的起源
科鲁纳事件非常复杂,揭示了一个日益增长的网络漏洞黑市。谷歌重建了该工具包的路径,从数百个虚假网站中恢复了该工具包,其中包括一个加密交换平台 WEEX 的欺骗性复制品。
分析揭示了令人担忧的交叉使用:
- 2025 年夏天,一个疑似俄罗斯间谍组织使用相同的工具包,利用被入侵的本地公司网站,以乌克兰的 iPhone 用户为目标。
- 随后,一个位于中国的犯罪团伙出于经济目的,通过诈骗网站大规模传播该工具包,从而使 Google 能够检索到完整代码并将其更名为 Coruna。
这种转手表明,功能极其强大的黑客工具存在一个繁荣的二级市场。
如何保护自己:解决方案就在身边
尽管攻击非常危险,但防御方法却出奇地简单,而且已经可用。Coruna 利用的漏洞会影响运行 iOS 17.2.1 或更早版本的 iPhone。苹果公司在 2024 年 1 月发布 iOS 17.3 更新时,发布了针对这些漏洞的最终补丁。超过一年半未安装更新的用户可能面临潜在风险。
此外,苹果还引入了一项极端的安全措施,该措施对工具包而言是致命的:锁定模式。如果在 iPhone 的设置中激活该功能,就可以完全阻止攻击:一旦科鲁纳检测到该模式的存在,它就会立即停止执行。
危险的遗产:回收的漏洞
Coruna 的分析最终揭示了另一个令人担忧的问题:该工具包背后的两个漏洞已在之前著名的 iOS 间谍活动 "Operation Triangulation "中使用过,卡巴斯基于 2023 年发现。这表明,"精英 "级漏洞一旦被开发出来,将如何继续流通并被不同的行为者重复使用,从监控机构到国家集团,最终到普通的金融犯罪。
