谷歌警告：新型iOS漏洞工具包正通过假网站窃取加密货币钱包数据

奔跑财经3月6日消息，谷歌威胁分析组警告称，一个被开发者命名为"Coruna"的"新型且强大"的iOS漏洞工具包，已被部署在虚假金融和加密货币网站上，旨在诱骗iPhone用户访问那些能够静默实施漏洞利用的页面。

对于加密货币持有者而言，风险是直接的：GTIG的分析显示，这些攻击活动的最终目标是窃取常用移动应用中的助记词和钱包数据。Coruna的目标是运行iOS 13.0至iOS 17.2.1版本的苹果设备，其捆绑了五个完整的漏洞利用链和23个漏洞。

GTIG表示，在诈骗浪潮阶段，他们观察到Coruna背后的JavaScript框架被部署在"非常大量"的、主要以金融为主题的简体中文虚假网站上。GTIG引用了一个例子：一个假冒WEEX品牌的加密货币交易所页面，试图引导访问者使用iOS设备——之后会注入一个隐藏的iFrame，"无论用户身处何地"，都会投递漏洞利用工具包。

这种投递机制之所以关键，是因为它模糊了传统钓鱼攻击与直接设备入侵之间的界限：根据GTIG的描述，只要使用存在漏洞的iPhone访问了设伏的页面，就足以启动攻击链。该框架会对设备进行指纹识别，以确定型号和iOS版本，然后加载相应的WebKit远程代码执行漏洞和指针认证绕过。

在攻击链的最后阶段，GTIG称Coruna会投放一个名为PlasmaLoader的加载器，并描述其重点不在于传统的监控功能，而在于窃取财务信息。

用户现在可以做什么

谷歌表示，Coruna"对最新版本的iOS无效"，并敦促用户进行更新。如果无法更新，GTIG建议启用苹果的锁定模式。GTIG还表示，已将被识别的网站和域名添加到谷歌安全浏览中，以帮助减少进一步的暴露。

对于加密原生用户而言，当前的直接启示是实用的：移动钱包处于高价值资产与高频网络流量的交汇点，这使得"访问即入侵"类攻击活动具有独特的危险性。GTIG的报告表明，这个诈骗漏斗不仅仅是为了让受害者连接钱包，更是为了让他们使用特定设备、运行特定iOS版本，以便漏洞利用能够完成后续工作。