ผู้เขียน: Max เมืองคริปโต
จากเครื่องมือเฝ้าระวังระดับชาติ สู่ “เครื่องเก็บเกี่ยวทรัพย์สิน”
รายงานเชิงลึกโดยกลุ่มข่าวกรองภัยคุกคามของ Google (GTIG) เปิดเผยว่า ชุดช่องโหว่ iOS ที่มีรหัสชื่อ Coruna (หรือ CryptoWaters) กำลังเป็นภัยคุกคามรุนแรงต่อผู้ใช้ iPhone ทั่วโลก ชุดเครื่องมือนี้มีเส้นทางการพัฒนาที่น่าตื่นเต้นอย่างมาก เมื่อพบครั้งแรกในกุมภาพันธ์ 2025 มันถูกจัดหาโดยบริษัทสอดแนมเอกชนให้กับลูกค้ารัฐบาล เพื่อใช้ในการสอดแนมบุคคลทางการเมืองและผู้คัดค้านอย่างแม่นยำ ต่อมาในฤดูร้อนปี 2025 กลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลรัสเซีย UNC6353 ได้เข้าควบคุมชุดเครื่องมือนี้และใช้ในการสอดแนมด้านภูมิรัฐศาสตร์ต่อพลเมืองยูเครน
ภาพที่มา: Google | เส้นเวลาในการค้นพบ Coruna
ด้วยเทคโนโลยีที่ล้ำหน้า ชุดเครื่องมือระดับมืออาชีพที่พัฒนาขึ้นด้วยงบประมาณหลายล้านดอลลาร์นี้ ได้เข้าสู่ตลาดอาชญากรรมทางไซเบอร์อย่างเป็นทางการ ในช่วงปลายปี 2025 ถึงต้นปี 2026 กลุ่มแฮกเกอร์จีน UNC6691 ได้เข้าถือครองเทคโนโลยีนี้และเปลี่ยนเป้าหมายการโจมตีเป็นการขโมยทรัพย์สินดิจิทัล ซึ่งเป็นสัญญาณว่าชุดเครื่องมือสายลับระดับสูงได้กลายเป็นสินค้าเชิงพาณิชย์แล้ว จากการเก็บข้อมูลเป้าหมายเฉพาะกลุ่ม กลายเป็นการปล้นสะดือทรัพย์สินของนักสะสมคริปโตทั่วไป นักวิจัยชี้ให้เห็นว่าการที่แฮกเกอร์ยินลงทุนสูงในเทคโนโลยีนี้ แสดงให้เห็นว่าผลประโยชน์จากทรัพย์สินคริปโตนั้นมีมูลค่ามากพอที่จะผลักดันให้เทคโนโลยีระดับมืออาชีพไหลเข้าสู่การก่ออาชญากรรมทางการเงิน
23 ช่องโหว่เชื่อมโยงกัน: การบุกรุกเงียบ ๆ ที่ซ่อนอยู่หลัง “บ่อ”
ชุด Coruna มีความอัตโนมัติสูงและซ่อนเร้นได้ดี ภายในประกอบด้วยช่องโหว่ 23 จุดที่แยกเป็นอิสระและสร้างเป็นห่วงโซ่โจมตีที่สมบูรณ์ 5 ชุด ครอบคลุมอุปกรณ์ iPhone และ iPad ที่ใช้ iOS ตั้งแต่เวอร์ชัน 13.0 ถึง 17.2.1 กลยุทธ์การโจมตีเป็นแบบ “Watering Hole” หรือการโจมตีบ่อพักน้ำ ซึ่งแฮกเกอร์จะบุกรุกหรือสร้างเว็บไซต์ปลอมของแพลตฟอร์มแลกเปลี่ยนคริปโตและเว็บไซต์การเงินเพื่อหลอกล่อเหยื่อ เว็บไซต์เหล่านี้ เช่น แพลตฟอร์ม WEEX ปลอม ที่มีรูปลักษณ์และฟังก์ชันเกือบเหมือนของจริง รวมถึงใช้เทคนิค SEO และโฆษณาแบบจ่ายเงินเพื่อเพิ่มการมองเห็น
ภาพที่มา: Google | แพลตฟอร์ม WEEX ปลอม
เมื่อผู้ใช้ iPhone เข้าชมเว็บไซต์ที่ติดเชื้อเหล่านี้ สคริปต์พื้นหลังจะทำการระบุอุปกรณ์ทันที ระบบจะตรวจสอบเวอร์ชัน iOS อย่างเงียบ ๆ หากเวอร์ชันอยู่ในช่วงโจมตี ก็จะเปิดช่องโหว่ Zero-click โดยอัตโนมัติ โดยไม่ต้องให้ผู้ใช้คลิกหรือโต้ตอบใด ๆ บางเว็บไซต์ปลอมยังจะแสดงข้อความเชิญชวนให้ใช้ iOS เพื่อประสบการณ์ที่ดีกว่า ซึ่งเป็นกลยุทธ์ในการล็อกเป้าหมายที่ยังไม่ได้อัปเดตระบบให้เปราะบาง
แม้แต่ภาพหน้าจอในอัลบั้มก็ไม่รอด
หาก Coruna เข้าถึงสิทธิ์ของอุปกรณ์สำเร็จ มัลแวร์ PlasmaLoader จะทำงานเพื่อสแกนและเก็บข้อมูลทรัพย์สินดิจิทัลของผู้ใช้ โปรแกรมนี้มีความสามารถในการสแกนอย่างละเอียด ค้นหาคำสำคัญ เช่น “backup phrase” “bank account” หรือ “seed phrase” และดึงข้อมูลสำคัญจากข้อความ SMS และบันทึกย่อ นอกจากนี้ยังสามารถใช้เทคโนโลยีการรู้จำภาพเพื่อสแกนภาพหน้าจอในอัลบั้มของผู้ใช้ ค้นหา QR Code ที่เก็บคำศัพท์หรือคีย์ส่วนตัวของกระเป๋าเงินดิจิทัล
นอกจากการเก็บข้อมูลแบบ static แล้ว Coruna ยังโจมตีแอปกระเป๋าเงินคริปโตยอดนิยม เช่น MetaMask และ Uniswap เพื่อดึงข้อมูลลับของผู้ใช้ แฮกเกอร์พยายามควบคุมกระเป๋าเงินอย่างสมบูรณ์ ในหลายกรณีที่ทราบกันดี เงินของเหยื่อถูกโอนออกภายในเวลาสั้น ๆ หลังจากเข้าเว็บไซต์ปลอม เนื่องจากการโจมตีนี้ล็อกเป้าหมายไปยังสิทธิ์ระดับลึกของระบบ หากคีย์ส่วนตัวเคยอยู่ในอุปกรณ์ ก็ยากที่จะรอดพ้นจากการเก็บข้อมูลของเครื่องมือสายลับนี้
ภาพที่มา: Google | รายชื่อแอปที่อาจถูกมัลแวร์โจมตี
แนวทางป้องกันและคำแนะนำเพื่อความอยู่รอด? การอัปเดตระบบเป็นกุญแจสำคัญ
สำหรับผู้ใช้ iPhone ที่ต้องเผชิญกับภัยคุกคามระดับสูง ควรดำเนินมาตรการป้องกันอย่างชัดเจน รายงานของ Google ระบุว่า Coruna ไม่สามารถโจมตี iOS เวอร์ชัน 17.3 ขึ้นไปได้ แม้ระบบจะอัปเดตเป็นเวอร์ชันใหม่แล้ว แต่ยังมีผู้ใช้บางส่วนที่ยังคงใช้เครื่องรุ่นเก่า หรือพื้นที่จัดเก็บไม่เพียงพอ จึงไม่สามารถอัปเดตได้ทันเวลา ทำให้เสี่ยงต่อการถูกโจมตี สำหรับอุปกรณ์รุ่นเก่าที่ไม่สามารถอัปเดตเป็นเวอร์ชันปลอดภัยได้ การเปิดใช้งาน “โหมดล็อคดาวน์ (Lockdown Mode)” ของแอปเปิลเป็นวิธีป้องกันที่มีประสิทธิภาพ เมื่อมัลแวร์ตรวจพบโหมดนี้ ก็จะหยุดทำงานเพื่อหลีกเลี่ยงการติดตาม
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ถือคริปโตปฏิบัติตามแนวทางพื้นฐาน เช่น การใช้ฮาร์ดแวร์วอลเล็ต (เช่น Ledger หรือ Trezor) เพื่อเก็บคีย์ส่วนตัวแบบออฟไลน์ตลอดเวลา โดยไม่ให้สัมผัสกับสภาพแวดล้อม iOS และควรลบภาพหน้าจอที่มีคำศัพท์หรือคีย์ส่วนตัวในอัลบั้มทันที และสำรองข้อมูลแบบออฟไลน์ในอุปกรณ์จริง
แม้ว่า Coruna จะหลีกเลี่ยงโหมดเบราว์เซอร์ไม่ระบุชื่อ (Incognito Mode) เพื่อเพิ่มโอกาสในการตรวจจับ แต่ก็เป็นเพียงวิธีชั่วคราวเท่านั้น ในยุคที่มูลค่าทรัพย์สินดิจิทัลเพิ่มขึ้นอย่างรวดเร็ว การอัปเดตซอฟต์แวร์และการตื่นตัวด้านความปลอดภัยจึงเป็นหน้าที่พื้นฐานของนักลงทุนทุกคน
