Xâm nhập iPhone chuyên trộm tiền điện tử! Bộ công cụ tấn công 「Coruna」 hoành hành, phiên bản iOS cũ có thể trở thành con mừa

Tác giả: Max, thành phố mã hóa

Từ công cụ giám sát cấp quốc gia trở thành “máy thu hoạch tài sản”
Theo báo cáo chuyên sâu của Nhóm Thông tin Mối đe dọa của Google (GTIG), bộ khai thác lỗ hổng iOS mang mã số Coruna (còn gọi là CryptoWaters) đang gây ra mối đe dọa nghiêm trọng đối với người dùng iPhone toàn cầu. Con đường phát triển của công cụ này vô cùng kịch tính, lần đầu tiên được phát hiện vào tháng 2 năm 2025, do các công ty giám sát tư nhân cung cấp cho khách hàng chính phủ, nhằm mục đích giám sát chính xác các nhân vật chính trị và phản đối. Sau đó vào mùa hè năm 2025, nhóm hacker liên quan đến chính phủ Nga UNC6353 đã kiểm soát bộ khai thác này, sử dụng nó để thực hiện hoạt động tình báo địa chính trị nhằm vào công dân Ukraine.

Nguồn hình ảnh: Google ｜ Dòng thời gian phát hiện Coruna

Với sự mở rộng của công nghệ, công cụ chuyên nghiệp này, trị giá hàng triệu USD, đã chính thức tràn vào thị trường tội phạm mạng. Từ cuối năm 2025 đến đầu năm 2026, một nhóm hacker Trung Quốc UNC6691 đã chiếm được công nghệ này và chuyển hướng tấn công sang cướp đoạt tài sản kỹ thuật số. Điều này tượng trưng cho việc các công cụ gián điệp cao cấp đã trở thành hàng hóa, từ việc thu thập thông tin mục tiêu cụ thể chuyển sang cướp đoạt tài sản của các nhà đầu tư tiền mã hóa bình thường trên quy mô lớn. Các nhà nghiên cứu chỉ ra rằng, các hacker sẵn sàng bỏ ra chi phí công nghệ cao, cho thấy lợi ích khổng lồ từ tài sản mã hóa đủ để thúc đẩy dòng chảy công nghệ chuyên nghiệp vào tội phạm tài chính.

23 chuỗi lỗ hổng phản ứng dây chuyền: ẩn sau “bẫy nước” là sự xâm nhập thầm lặng
Bộ khai thác Coruna có mức độ tự động hóa cao và khả năng ẩn mình, tích hợp 23 lỗ hổng độc lập, tạo thành 5 chuỗi tấn công hoàn chỉnh. Phạm vi ảnh hưởng rộng, bao gồm tất cả các thiết bị iPhone và iPad chạy iOS từ 13.0 đến 17.2.1. Hacker sử dụng phương thức tấn công “bẫy nước” (Watering Hole Attack), xâm nhập hoặc tạo ra các trang web giả mạo các sàn giao dịch tiền mã hóa và các trang tài chính để dụ dỗ nạn nhân. Các trang này như nền tảng giao dịch WEEX giả mạo, có giao diện và chức năng gần như chính hãng, thậm chí còn tối ưu hóa tìm kiếm và chạy quảng cáo trả phí để tăng khả năng hiển thị.

Nguồn hình ảnh: Google ｜ Nền tảng giao dịch WEEX giả mạo

Khi người dùng iPhone truy cập các trang web bị nhiễm độc này, script nền sẽ ngay lập tức thực thi nhận diện thiết bị. Hệ thống sẽ âm thầm kiểm tra phiên bản iOS, nếu xác nhận thiết bị nằm trong phạm vi tấn công, sẽ tự động kích hoạt lỗ hổng Zero-click, không cần người dùng tương tác hay nhấn vào liên kết tải xuống. Một số trang giả mạo còn chủ động nhắc người dùng truy cập bằng thiết bị iOS, tuyên bố mang lại trải nghiệm tốt hơn, thực chất là để nhắm mục tiêu chính xác các thiết bị chưa cập nhật hệ thống còn yếu đuối.

Ngay cả ảnh chụp màn hình trong album cũng không thoát khỏi
Khi Coruna thành công trong việc chiếm quyền điều khiển thiết bị, phần mềm độc hại PlasmaLoader sẽ kích hoạt, tiến hành quét tài sản kỹ thuật số của người dùng. Chương trình này có khả năng quét mạnh mẽ, tự động tìm kiếm các từ khóa như “backup phrase”, “bank account” hoặc “seed phrase”, và trích xuất dữ liệu quan trọng từ tin nhắn và ghi chú. Bộ khai thác còn có khả năng nhận diện hình ảnh, tự động quét các ảnh chụp màn hình trong album để tìm mã QR chứa seed phrase hoặc private key của ví tiền mã hóa.
Ngoài việc thu thập dữ liệu tĩnh, Coruna còn tấn công các ứng dụng ví tiền mã hóa phổ biến như MetaMask và Uniswap. Hacker cố gắng trích xuất thông tin nhạy cảm từ các ứng dụng này để kiểm soát hoàn toàn ví của người dùng. Trong nhiều trường hợp đã biết, tài sản của nạn nhân đã bị chuyển đi trong thời gian ngắn sau khi truy cập các trang giả mạo. Do tấn công nhắm vào quyền hạn hệ thống thấp nhất, chỉ cần private key còn lưu trữ dưới dạng kỹ thuật số trên điện thoại, đều không thoát khỏi khả năng thu thập của công cụ gián điệp này.

Nguồn hình ảnh: Google ｜ Google liệt kê tất cả các ứng dụng có thể bị tấn công bởi phần mềm độc hại

Nguyên tắc phòng thủ và hướng dẫn sinh tồn? Cập nhật hệ thống là chìa khóa an toàn
Đối mặt với các mối đe dọa cao cấp tinh vi, người dùng iPhone cần thực hiện các biện pháp phòng vệ rõ ràng. Báo cáo của Google chỉ ra rằng, Coruna hoàn toàn vô hiệu trên iOS 17.3 trở lên. Dù hệ điều hành đã được cập nhật lên phiên bản mới hơn, nhưng vẫn còn nhiều người dùng không kịp nâng cấp do thiết bị cũ hoặc bộ nhớ hạn chế, từ đó dễ bị tổn thương. Đối với các thiết bị cũ không thể nâng cấp lên phiên bản an toàn, việc bật chế độ “Chế độ khóa (Lockdown Mode)” do Apple cung cấp là biện pháp phòng ngừa hiệu quả, phần mềm độc hại sẽ dừng hoạt động khi phát hiện chế độ này để tránh bị theo dõi.
Chuyên gia an ninh khuyên các nhà đầu tư tiền mã hóa nên tuân thủ các nguyên tắc sinh tồn cơ bản. Ưu tiên sử dụng ví phần cứng (như Ledger hoặc Trezor), giữ private key luôn ở trạng thái ngoại tuyến, không tiếp xúc với môi trường iOS. Thứ hai, cần xóa ngay tất cả các ảnh chụp màn hình chứa seed phrase hoặc private key trong album, thay vào đó là sao lưu ngoại tuyến bằng thiết bị vật lý.
Dù Coruna cố tình tránh chế độ duyệt web ẩn danh để giảm khả năng bị phát hiện, nhưng đây chỉ là biện pháp tạm thời. Trong bối cảnh giá trị tài sản kỹ thuật số ngày càng tăng, việc duy trì cập nhật phần mềm và cảnh giác về an ninh mạng đã trở thành nghĩa vụ cơ bản của mỗi nhà đầu tư.