Google 威胁研究人员表示，他们发现一款新的漏洞利用工具包（exploit kit）正针对Apple iPhone 用户发动攻击，目标是窃取加密货币钱包助记词（seed phrase）。

漏洞利用工具包Coruna

这款工具包被开发者命名为「Coruna」。 Google 威胁情报小组（Google Threat Intelligence Group，GTIG）在周三发布的报告中指出，该工具包可攻击iOS 13.0 至iOS 17.2.1 的装置，包含5 条完整的iOS 漏洞利用链与共23 个漏洞，其中部分漏洞此前从未公开。

GTIG 表示，他们在2025 年2 月首次发现Coruna。最初，该工具被追踪到由疑似俄罗斯间谍组织用于针对乌克兰目标发动攻击。之后研究人员又发现，该漏洞工具后续又被整合到伪造的中国加密货币网站中，用于窃取用户资产。

GTIG 强调，最新版本的iOS 不受此漏洞影响，并建议iPhone 用户尽快更新系统。如果无法更新，建议启用Apple 的「锁定模式（Lockdown Mode）」，以抵御高度复杂的网路攻击。

伪造网站成主要攻击管道

研究人员指出，最初发现的攻击案例中，攻击者会先透过网站中的JavaScript 程式识别使用者的装置资讯，例如iPhone 型号与iOS 版本，再根据装置情况投放相应的漏洞攻击程式。

同年稍晚，研究人员在多个被入侵的乌克兰网站上发现相同的JavaScript 框架。这些程式只会向特定地理位置的iPhone 用户提供攻击内容。

到了2025 年12 月，GTIG 又发现同样的攻击框架出现在大量伪造的中国金融网站上，其中包括一个冒充加密交易所WEEX 的网站。

当iPhone 用户透过iOS 装置访问这些网站时，该框架会下载漏洞工具包，并开始搜寻装置中的财务相关资讯。例如，它会扫描简讯中是否出现助记词，或包含「backup phrase」、「bank account」等关键字。

此外，Coruna 也会搜寻手机中的热门加密应用程式，例如Uniswap 和MetaMask，试图提取加密资产或敏感资料。

工具来源引发争议

GTIG 并未透露最初使用该漏洞工具包的监控公司客户身份。不过，行动安全公司iVerify 向《WIRED》表示，这个工具可能由美国政府开发或购买。 iVerify 共同创办人Rocky Cole 指出：

「这是一个极为复杂的工具，开发成本可能高达数百万美元，而且其设计特征与过去被归因于美国政府的其他模组相似。」

Cole 认为，这可能是首次看到疑似美国政府开发的网路工具被外流并遭敌对势力与网路犯罪组织利用的案例。

不过，卡巴斯基（Kaspersky） 的首席安全研究员则对此说法持保留态度。他向《The Register》表示，目前公开的技术报告中没有证据显示Coruna 与相关工具存在程式码重用，因此无法确认其与美国政府有关。

本文链接地址：https://www.wwsww.cn/hqfx/37435.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。