疑似美国政府工具外泄!谷歌揭示加密货币诈骗新型 iPhone 攻击链
谷歌威胁情报小组(GTIG)周三发布报告,揭示一个名为 Coruna 的新型 iPhone 漏洞利用工具包已被部署于大规模加密货币诈骗活动中。行动安全公司 iVerify 透露,Coruna 工具包可能源自美国政府,并在失控后被对手及网络犯罪组织转用于加密货币诈骗。
Coruna 工具包技术剖析:如何定向窃取加密钱包
(来源:Mandiant)
Coruna 采用 JavaScript 技术对访问虚假网站的 iOS 设备进行指纹识别,确认目标版本后自动投放漏洞利用程序。一旦设备遭到入侵,工具包将系统性搜索以下类型的敏感信息:
加密助记词:主动扫描含有“备份短语(backup phrase)”及“种子短语(seed phrase)”关键词的本地文本
主流加密应用程序:定向瞄准 Uniswap 和 MetaMask 等去中心化钱包应用,提取密钥或账户资料
金融账户信息:同步搜索银行账户及其他支付相关敏感数据
GTIG 确认 Coruna 与当前最新 iOS 版本不兼容,强烈建议所有 iPhone 用户立即更新系统。无法升级者应开启苹果提供的“锁定模式(Lockdown Mode)”,苹果官方称此模式可有效抵御高度复杂的针对性攻击。
从情报行动到加密诈骗网站:Coruna 的两条传播路径
GTIG 的追踪显示,Coruna 工具包历经两个截然不同的使用阶段。最初,疑似俄罗斯情报组织通过被入侵的乌克兰网站,将工具包定向投放给特定地理位置的 iPhone 用户,呈现典型的情报收集作业特征。
2025 年 12 月,GTIG 在规模庞大的虚假中文金融网站群中发现了相同的 JavaScript 框架,包括一个直接仿冒加密货币交易所 WEEX 的山寨站点。当 iOS 用户访问这些假网站时,工具包在后台自动提取财务信息,优先针对加密钱包助记词,构成直接的财产安全威胁,将原本的情报攻击工具转化为大规模加密货币诈骗手段。
归因争议:疑似美国政府工具还是商业间谍软件?
此次事件最具争议的面向是 Coruna 的潜在来源。iVerify 联合创始人 Rocky Cole 向 WIRED 表示,该工具包“非常复杂,耗资数百万美元开发,并具有其他已被公开归咎于美国政府的模块的标志性特征”,并称这可能是“美国政府工具首次失控后被对手及网络犯罪集团加以利用的案例”。
然而,卡巴斯基(Kaspersky)首席安全研究员持不同立场,表示其公司“在已发布的报告中未发现任何实际代码重用的证据”以支持此归因。GTIG 亦未在报告中直接披露据称首个使用 Coruna 的监控公司客户身份,使归因问题暂时悬而未决。
常见问题
Coruna 工具包是否会影响最新版本的 iPhone?
GTIG 确认,Coruna 的 5 条漏洞利用链均针对 iOS 13.0 至 17.2.1 版本,与当前最新 iOS 系统不相容。所有 iPhone 用户应立即更新系统,无法升级者应开启“锁定模式(Lockdown Mode)”降低风险。
谷歌如何发现 Coruna 被用于加密货币诈骗活动?
GTIG 于 2025 年 2 月识别出工具包的部分代码特征,追踪到被入侵的乌克兰网站上的相同 JavaScript 框架,其后在仿冒 WEEX 交易所的大规模虚假中文网站群中发现完整部署,确认工具包已由情报攻击用途转型为大规模加密货币诈骗工具。
如何保护加密钱包助记词不被此类工具包窃取?
除即时更新 iOS 系统外,建议将助记词存储于完全离线的冷储存介质(如硬件钱包或纸质备份),避免在任何联网设备上以明文形式存储助记词,并对所有加密相关网站进行二次真实性验证,避免访问来源不明的金融网站。
相关文章