iOS间谍软件Coruna疑似被泄露到网上 用来窃取加密货币用户的钱包助记词
iOS 间谍软件 Coruna 因未知原因泄露到网上,被部分黑客拿来针对窃取加密货币用户的钱包助记词。该工具只能针对 iOS 17.2.1 及以下版本发起攻击,攻击流程是感染目标设备后扫描相册查找助记词相关的照片并上传到服务器,这也再次告诫我们钱包助记词绝对不要截图或拍照放到手机里。
谷歌威胁情报小组日前发布报告披露名为 Coruna 的间谍软件,这款间谍软件最初应该是某个国家级黑客团队开发的,但不知道什么原因导致其泄露到网上并开始遭到各路黑客的使用。
Coruna 工具包含 5 条完整的 iOS 漏洞利用链条,合计涉及 23 个安全漏洞,其中最复杂的是利用非公开技术和漏洞缓解绕过措施,针对的 iOS 版本则是 iOS 13.0~iOS 17.2.1 版。
谷歌威胁情报小组在 2025 年 2 月份首次观察到与 Coruna 漏洞利用工具包相关的活动,此次攻击活动被归因于某个商业监控供应商的客户 (客户下单并由供应商辅助发起攻击)。
当时研究人员获得 JavaScript 交付框架以及针对 CVE-2024-23222 的漏洞利用程序,CVE-2024-23222 是个 WebKit 漏洞,允许攻击者在 iOS 17.2.1 版上执行远程代码,苹果在 iOS 17.3 版中修复了该漏洞。
相关的漏洞还牵涉到针对卡巴斯基的三角测量攻击,三角测量是一场极其复杂的攻击,当时卡巴斯基实验室的多名员工使用的 iOS 设备被植入恶意软件并实施监控。
现在这些漏洞都已经修复,所以 Coruna 工具只能针对 iOS 17.2.1 及以下版本发起攻击,然而现实中确实有诸多用户不愿意升级或者 iOS 设备已经不支持后续的新版本而没能升级。
所以现在部分处于经济利益的黑客团体开始利用 Coruna 工具发起攻击,这些黑客的目的极其单一,主要就是窃取用户相册中的加密货币钱包助记词,也就是专注于窃取加密货币。
其流程是这样的:
广泛撒网或针对加密货币领域活跃的用户发起攻击,待目标用户感染 Coruna 恶意软件后,该恶意软件会扫描用户相册并识别是否有助记词类的照片。
如果有则直接将包含助记词的照片上传到 C2 服务器,黑客对用户保存的其他照片不感兴趣,所以没有助记词的话至少目前没发现黑客还会窃取用户照片发起勒索。
这又得说起加密货币领域的安全规则:
无论如何都不应该将钱包助记词截图保存到相册,也不应该将手写的助记词拍照保存到相册,对于助记词最佳安全实践是手写到纸上保存在家里 (最好手写多份)。
只有物理隔断助记词的访问才能确保安全性,将助记词拍照保存到手机、上传到网盘都是非常不靠谱的做法,而使用过时的 iOS 版本则会放大攻击面。
Coruna 工具包含 5 条完整的 iOS 漏洞利用链条,合计涉及 23 个安全漏洞,其中最复杂的是利用非公开技术和漏洞缓解绕过措施,针对的 iOS 版本则是 iOS 13.0~iOS 17.2.1 版。
谷歌威胁情报小组在 2025 年 2 月份首次观察到与 Coruna 漏洞利用工具包相关的活动,此次攻击活动被归因于某个商业监控供应商的客户 (客户下单并由供应商辅助发起攻击)。
当时研究人员获得 JavaScript 交付框架以及针对 CVE-2024-23222 的漏洞利用程序,CVE-2024-23222 是个 WebKit 漏洞,允许攻击者在 iOS 17.2.1 版上执行远程代码,苹果在 iOS 17.3 版中修复了该漏洞。
相关的漏洞还牵涉到针对卡巴斯基的三角测量攻击,三角测量是一场极其复杂的攻击,当时卡巴斯基实验室的多名员工使用的 iOS 设备被植入恶意软件并实施监控。
现在这些漏洞都已经修复,所以 Coruna 工具只能针对 iOS 17.2.1 及以下版本发起攻击,然而现实中确实有诸多用户不愿意升级或者 iOS 设备已经不支持后续的新版本而没能升级。
所以现在部分处于经济利益的黑客团体开始利用 Coruna 工具发起攻击,这些黑客的目的极其单一,主要就是窃取用户相册中的加密货币钱包助记词,也就是专注于窃取加密货币。
其流程是这样的:
广泛撒网或针对加密货币领域活跃的用户发起攻击,待目标用户感染 Coruna 恶意软件后,该恶意软件会扫描用户相册并识别是否有助记词类的照片。
如果有则直接将包含助记词的照片上传到 C2 服务器,黑客对用户保存的其他照片不感兴趣,所以没有助记词的话至少目前没发现黑客还会窃取用户照片发起勒索。
这又得说起加密货币领域的安全规则:
无论如何都不应该将钱包助记词截图保存到相册,也不应该将手写的助记词拍照保存到相册,对于助记词最佳安全实践是手写到纸上保存在家里 (最好手写多份)。
只有物理隔断助记词的访问才能确保安全性,将助记词拍照保存到手机、上传到网盘都是非常不靠谱的做法,而使用过时的 iOS 版本则会放大攻击面。
关于作者
评论2次
还好钱包没钱,也没截图助剂词
看到这个消息真的得提高警惕了,特别是玩币的朋友。直接说结论:**赶紧检查手机xi统版本和备份后升级**,千万别再偷懒了。 ### 理由简单说: 1. 这个漏洞工具太猛了,连卡巴斯基都被黑过,说明攻击手段极其高明。现在虽然苹果修好了漏洞,但很多老用户还在用旧xi统(比如iPhone 6s这种升不了新xi统的),正好成了 targets。 2. 黑客现在目标明确——专偷助记词照片,而且他们直接通过相册扫描,根本不管你的其他隐私。一旦助记词照片在手机里,就等于给钱袋开了后门。 ### 你要立刻做的: - **马上升级xi统**:哪怕手机卡、发热也得升!实在升不了的(比如老设备),赶紧备份数据换新机。 - **助记词绝对不能拍照存手机**!手写纸片锁抽屉,连截图、云端备份都别碰。如果你之前拍过——现在立刻删掉,然后开启相册加密(设置-密码-照片密码)。 - 关闭「iTunes/照片同步」和「自动下载」功能,避免被远程利用。 - 加密货币相关操作尽量用独立设备,别和日常手机混着用。 说白了,攻击门槛现在低到连普通黑客都能用这工具,与其被偷反而追查无门,不如老老实实把安全步骤做到位。如果发现手机异常卡顿或流量异常,可能是中招了,赶紧刷机重装xi统。