3月5日消息,谷歌威胁情报小组(GTIG)近日发布安全报告称,研究人员发现一种名为“Coruna”的新型iPhone漏洞利用工具包,被用于窃取加密货币钱包助记词及金融信息。该工具包针对运行iOS 13.0至17.2.1版本的设备,通过多条漏洞利用链对用户发起定向攻击,引发移动安全领域高度关注。
报告显示,“Coruna”包含5条完整的iOS漏洞利用链,总计涉及23个安全漏洞,其中部分此前从未公开。谷歌研究人员表示,他们在2025年2月首次识别到相关攻击活动,并发现该工具最初被疑似俄罗斯间谍组织用于针对乌克兰用户的网络攻击,随后又被用于伪造金融和加密资产相关网站,诱导用户访问后实施信息窃取。
攻击方式主要依赖恶意网页投放漏洞代码。当iPhone用户访问特定网站时,页面中的JavaScript框架会对设备进行指纹识别,确认系统版本后再加载相应漏洞利用程序。研究人员在多个被入侵的乌克兰网站中发现了相同框架,并注意到该系统只向特定地区的iPhone设备发送攻击代码。
2025年12月,研究团队进一步在大量与金融服务相关的伪造中文网站中检测到同一框架,其中包括仿冒加密平台页面。受害者一旦通过iOS设备访问这些网站,攻击工具便会扫描设备中的敏感信息,例如包含助记词、备份短语或银行账户字样的文本数据,同时尝试读取常见加密钱包应用的数据,从而获取数字资产控制权。
谷歌方面指出,该漏洞工具包目前无法在最新版本的iOS系统上运行,因此建议iPhone用户尽快升级系统。如果设备无法升级,则可启用苹果提供的“锁定模式”,以抵御复杂的网络攻击。
与此同时,围绕“Coruna”来源的讨论也引发争议。移动安全公司iVerify的联合创始人Rocky Cole在接受媒体采访时表示,该工具的复杂程度极高,开发成本可能达到数百万美元,并具备部分与美国政府网络工具类似的模块特征。不过,安全研究机构卡巴斯基的专家则表示,目前没有足够证据证明其代码与任何已知工具存在直接关联。
安全专家提醒,加密货币用户在使用手机钱包或访问相关网站时,应警惕钓鱼页面并及时更新设备系统,以降低助记词泄露和数字资产被盗的风险。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
2026 年 Q1 的 Web3 專案因駭客攻擊與詐騙損失超過 4.6 億美元,釣魚攻擊占主導地位
Hacken 發布的報告顯示,2026 年第一季度 Web3 專案因駭客攻擊和詐騙損失 4.645 億美元,釣魚與社會工程攻擊損失達 3.06 億美元,硬體錢包詐騙佔據主要損失。此外,智慧合約漏洞和存取控制失敗也造成 significant 損失。監管方面,歐洲法律框架提升了安全監控要求。
GateNews39分鐘前
RAVE 狂飆引爆山寨幣熱潮,FF 和 INX 揭露「拉高出貨」套路
最近以 RAVE 為代表的山寨幣掀起了激烈的投資熱潮,但部分舊日明星項目如 FF 和 INX卻利用這波熱潮進行「拉高出貨」操作,通過迅速拉升幣價吸引散戶買入,隨後大幅拋售,造成價格急速下跌。這樣的行為不僅暴露了項目方的資金困境,也損害了投資者的信任。投資者需警惕短時異常拉升等信號,以避免被操控市場的風險。
Market Whisper4小時前
FBI 與印尼聯手搗毀 W3LL 釣魚網,涉案逾 2000 萬美元
美國FBI與印尼警方合作成功搗毀W3LL釣魚網,查獲相關設備並拘捕嫌疑人。W3LL釣魚工具包以低價提供假登入頁面,利用中間人攻擊輕易繞過多因素驗證,形成有組織的網路犯罪生態。此次行動標誌著美印在網路犯罪執法上的合作,然而加密貨幣用戶的安全威脅仍然嚴峻。
Market Whisper7小時前
Squads 緊急警示:地址投毒偽造多簽帳戶,白名單機制將上線
Solana 生態的多簽協議 Squads 發出警告,指出攻擊者對用戶發起地址投毒攻擊,通過偽造帳戶誘騙用戶進行不當轉帳。Squads 確認未有資金損失,並強調這屬於社交工程攻擊而非協議漏洞。為應對,Squads 已實施警告系統、未交互帳戶提示及白名單機制等防護措施。此事件反映出 Solana 生態中社交工程威脅的增長,並引發持續的安全檢討。
Market Whisper8小時前
韓國「報復中介」機構以 USDT 收費承接暴力犯罪,主犯被捕後仍持續運營
韓國最近出現多個以加密貨幣作為支付手段的「報復中介」機構,它們透過 Telegram 提供恐嚇與謀殺服務。儘管主犯已被捕,相關廣告仍在發布,警方調查超過 50 起案件,逮捕約 30 人。
GateNews9小時前
假「分類帳(Ledger)」App 在蘋果 App Store 上竊取音樂家 5.9 BTC 退休基金
在蘋果 App Store 上,一款假冒的 Ledger 應用程式透過輸入他的種子短語,騙走了音樂人 Garrett Dutton,導致他損失 5.9 BTC。此案凸顯了持續進行的錢包詐騙,以及對信任的剝削,因為被盜的比特幣是透過 KuCoin 洗錢的。
CryptoNewsFlash14小時前
