谷歌威胁研究人员表示,他们发现了一种针对苹果iPhone用户的新型漏洞工具包,旨在窃取加密钱包助记词。
据谷歌威胁情报组(GTIG)周三在一份报告中表示,这套名为“Coruna”的工具包由其开发者命名,针对运行iOS 13.0到17.2.1版本的iPhone设备。“该工具包包含五套完整的iOS漏洞链,总计23个漏洞”,其中包括此前未被公开的新漏洞。
该组织称,最早是在2025年2月发现此工具包,之后持续追踪发现,该工具被一支疑似俄罗斯间谍组织用于攻击乌克兰人,随后又出现在伪造的中国加密货币网站上,目的是窃取加密资产。
GTIG表示,该工具包无法在最新iOS版本上运行,并敦促iPhone用户尽快将设备升级至最新系统。如无法更新,应启动“锁定模式”,苹果方面称此模式可以抵御高级攻击。。
攻击工具通过虚假网站瞄准加密资产
GTIG称,其在2025年2月接触到部分iOS漏洞利用的线索,为一家监控公司客户所用,通过JavaScript fingerprinting技术识别设备,进而下发相应漏洞攻击代码。
同年晚些时候,研究人员在多个遭入侵的乌克兰地区网站上发现了相同的JavaScript框架,并指出该框架“仅向来自特定地理位置的特定iPhone用户投递”。
GTIG随后表示,于12月在“规模庞大的虚假中国财经类网站”上发现了相同框架,其中包括一家假冒加密货币交易所WEEX的网站。
当用户使用iOS设备访问这些网站时,框架便会投递攻击工具包,并搜集金融信息,包括分析含有助记词、如“备份短语”或“银行账户”等关键词的文本内容。
攻击工具还会搜索流行的加密应用,包括Uniswap和MetaMask,以窃取加密资产或敏感信息。
Coruna是否源自美国情报部门引发争议
GTIG并未点名该监控公司客户。不过,移动安全公司iVerify向WIRED透露,该工具包可能由美国政府开发或采购。
iVerify联合创始人Rocky Cole对WIRED表示:“该工具包高度复杂,开发成本高达数百万美元,并具有其他已被公开归属于美国政府模块的典型特征。”
“这是我们首次看到极可能属于美国政府工具的实例——根据代码所显示的信息——失控后被我们的对手和网络犯罪团伙共同利用。”
然而,卡巴斯基的首席安全研究员告诉The Register,未在公开报告中发现足以支撑将Coruna归因于同一作者的实际代码复用证据。
