新聞 
幣種資訊 
關於我們 
Google 威脅情報團隊「Google Threat Intelligence Group, GTIG」近期偵測到一款鎖定蘋果(Apple) iPhone 用戶的全新 iOS「詞」漏洞利用工具包(exploit kit),目的直指加密資產:竊取錢包「詞」種子助記詞(seed phrase/復原助記詞),進而接管受害者錢包並轉移資金。此事件也再次凸顯,iPhone 若未即時更新系統,可能直接把「詞」資產安全暴露在高風險攻擊之下。
根據 GTIG 於 5 日(當地時間)公布的報告,該工具包在開發者圈內被稱為「詞」Coruna,主要針對 iOS 13.0 至 17.2.1 等較舊版本的裝置。GTIG 指出,Coruna 由「詞」5 條完整 iOS exploit chain(漏洞利用鏈)與總計 23 個 exploit 組成,其中包含從未公開的漏洞,疑似涉及「詞」零日(zero-day)弱點。Google 另補充,Coruna 在 iOS 最新版本上無法運作,並建議用戶盡快將作業系統更新至最新版本;若因因素無法更新,也可考慮啟用蘋果用於抵禦高階定向攻擊的「詞」鎖定模式(Lockdown Mode)作為替代防線。
GTIG 表示,他們在 2025 年 2 月首次確認 Coruna 後,持續追蹤其實際使用情境,並發現疑似俄羅斯來源的情報/監控組織曾將之用於針對烏克蘭用戶的行動。後續調查還發現,另一波與加密貨幣竊盜相關的攻擊活動中,「詞」假冒中國背景的加密貨幣網站也出現相同工具的使用痕跡,顯示 Coruna 可能已從高度定向攻擊,外溢至更偏向牟利的犯罪場景。
攻擊鏈路方面,報告指出,攻擊者會先以 JavaScript 對造訪者進行「詞」裝置指紋辨識(fingerprinting),蒐集裝置型號、瀏覽器、iOS 版本等資訊,再依環境投放最適合、成功率最高的 exploit。GTIG 進一步說明,2025 年下半年,同一套 JavaScript 框架被藏在多個遭入侵的烏克蘭網站中,且程式碼被設計為只對「詞」特定地理位置(geolocation)的指定 iPhone 用戶投放,屬於縮小受害面、降低被偵測機率的典型定向作法,而非無差別大規模感染。
到了 2025 年 12 月,GTIG 又在「大量假冒的中國網站群」中發現相同框架,這些網站多以「金融」為主題包裝,其中部分疑似仿冒加密貨幣交易平台「詞」WEEX。當用戶使用 iOS 裝置進入這類網站後,框架會下載 Coruna exploit kit,並開始在裝置端「詞」搜尋金融敏感資訊。GTIG 提到,攻擊程式會分析可能含有種子助記詞的文字內容,或掃描如「backup phrase」、「bank account」等關鍵字,以蒐集可用於資產竊取或後續詐騙的資料。此外,Coruna 也被觀察到會鎖定「詞」Uniswap 與「詞」MetaMask 等常見加密貨幣應用程式,企圖取得加密資產或其他敏感資訊。
關於 Coruna 的來源與歸因,業界看法分歧。GTIG 並未公開指出該 exploit kit 具體來自哪一家監控/監視產業客戶,但行動裝置安全公司 iVerify 對《WIRED》提出推測,認為其可能由美國政府建立或透過採購取得。iVerify 共同創辦人 Rocky Cole(羅基·科爾)指出,Coruna 極其精密,開發成本可能高達數百萬美元,且具備過往公開與美國政府相關模組的特徵;他更警告,若判斷屬實,這可能是「疑似美國政府級工具」外流後,被敵對勢力與網路犯罪集團同時利用的首個可見案例。
不過,資安公司卡巴斯基(Kaspersky)則採取更審慎的態度。卡巴斯基一名資深安全研究員向《The Register》表示,僅憑目前公開報告,尚未看到足以將 Coruna 明確歸因於同一作者或同一來源所需的「詞」實際程式碼重用(code reuse)證據,因此不宜過早下結論。
整體而言,這起 iOS exploit kit 與「詞」種子助記詞竊取結合的案例,直接把「手機端系統更新」與「資產風險」劃上等號:只要 iPhone 停留在可被利用的舊版 iOS,攻擊者就可能透過釣魚網站、被植入惡意程式的頁面與精準投放,將受害者的錢包復原助記詞與金融資訊一併帶走。
「評論」對加密貨幣用戶而言,除了挑選可信任的交易平台與錢包工具,日常更關鍵的是維持 iOS 在最新版本、避免點擊來源不明的金融/交易連結,並在高風險使用情境下啟用「詞」鎖定模式,把裝置端防護視為加密資安的第一道門檻。
留言 0