Lỗ hổng iPhone Coruna nhắm vào ví tiền điện tử, các nhà nghiên cứu bảo mật cảnh báo

Tóm tắt

Các nhà nghiên cứu an ninh mạng đã phát hiện ra bộ công cụ khai thác Coruna, một bộ công cụ tinh vi nhắm vào iPhone chạy iOS 13–17.2.1 để đánh cắp thông tin đăng nhập ví tiền điện tử thông qua nhiều lỗ hổng zero-day.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một bộ công cụ tấn công mạnh mẽ, có thể vượt qua hệ thống bảo mật của iPhone của Apple và đánh cắp tiền điện tử khỏi ví của người dùng. Bộ khai thác này gọi là Coruna và khai thác nhiều lỗ hổng trong hệ điều hành di động của Apple, đã được triển khai trong các hoạt động gián điệp và tội phạm mạng có mục đích kiếm tiền.

Các nhà nghiên cứu của Google Threat Intelligence Group phát hiện rằng khung công cụ Coruna có 23 lỗ hổng khác nhau được đóng gói trong nhiều chuỗi tấn công giúp hacker tấn công các thiết bị sử dụng các phiên bản phần mềm di động cũ của Apple. Sau khi triển khai, phần mềm độc hại quét các thiết bị chứa dữ liệu nhạy cảm như thông tin ví tiền điện tử và thông tin ngân hàng.

Phát hiện này nhấn mạnh rủi ro ngày càng tăng đối với người tiêu dùng tiền điện tử sử dụng ví di động để lưu trữ tài sản kỹ thuật số. Với việc các ứng dụng giao dịch di động và tài chính phi tập trung ngày càng phổ biến, các tấn công bắt đầu nhắm vào điện thoại thông minh như một điểm truy cập vào quỹ kỹ thuật số.

Bộ công cụ tinh vi với nhiều đường tấn công

Bộ khai thác Coruna được xem là một trong những cấu trúc tấn công iPhone tinh vi nhất từng được công bố. Các chuyên gia an ninh cho biết bộ công cụ này có thể tấn công các thiết bị chạy các phiên bản hệ điều hành của Apple, bao gồm iOS 13 đến iOS 17.2.1, phù hợp với các iPhone ra mắt từ năm 2019 đến cuối năm 2023.

Thay vì chỉ có một lỗ hổng, Coruna kết hợp 23 lỗ hổng khác nhau trong 5 chuỗi tấn công toàn diện, cho phép vượt qua nhiều lớp bảo vệ của Apple.

Trong nhiều trường hợp, cuộc tấn công không cần sự tương tác của người dùng, chỉ cần truy cập vào một trang web độc hại. Sau khi trang bị xâm nhập được tải lên thiết bị dễ bị tấn công, mã khai thác ẩn được tự động thực thi, cho phép kẻ tấn công kiểm soát điện thoại và cài đặt phần mềm độc hại.

Đầu tiên, phần mềm sẽ xác định mẫu iPhone và loại hệ điều hành đang sử dụng. Sau đó, nó chọn chuỗi khai thác phù hợp để xâm phạm các biện pháp bảo mật và cài đặt phần mềm độc hại.

Ví tiền điện tử trở thành mục tiêu chính

Sau khi thiết bị bị xâm phạm, phần mềm độc hại nhằm mục tiêu đánh cắp dữ liệu quý giá, đặc biệt là thông tin đăng nhập ví tiền điện tử. Theo các điều tra viên, phần mềm này quét các tin nhắn, ghi chú và dữ liệu ứng dụng để tìm các từ khóa dựa trên cụm từ khôi phục crypto.

Phần mềm tìm kiếm đặc biệt các từ như mnemonic phrase, backup phrase, và bank account, thường liên quan đến các chương trình khôi phục ví. Khi phát hiện các cụm từ này, kẻ tấn công có thể sử dụng chúng để lấy lại ví của nạn nhân trên thiết bị khác và truy cập toàn bộ số tiền.

Các nhà nghiên cứu cho biết bộ công cụ khai thác này nhắm vào nhiều ứng dụng ví phi tập trung phổ biến, như các nền tảng liên kết người dùng với các giao thức tài chính phi tập trung và các nền tảng giao dịch.

Các báo cáo cho biết ít nhất 18 ứng dụng crypto hỗ trợ loại trích xuất dữ liệu này khi được cài đặt trên các thiết bị bị xâm phạm. Sau khi thu thập dữ liệu nhạy cảm, phần mềm gửi dữ liệu về các máy chủ điều khiển từ xa do kẻ tấn công kiểm soát để có thể rút hết tiền trong ví của các nạn nhân trong thời gian ngắn.

Từ công cụ gián điệp đến vũ khí tội phạm

Cách bộ công cụ khai thác Coruna lây lan đến các tác nhân đe dọa khác là một trong những vấn đề đáng báo động nhất về bộ công cụ này. Theo các điều tra viên, khung công cụ này lần đầu xuất hiện vào năm 2025 như một phần của hoạt động giám sát có mục đích liên quan đến khách hàng của phần mềm gián điệp thương mại.

Ngoài ra cùng năm đó, hạ tầng khai thác này còn được sử dụng trong các cuộc tấn công gọi là watering hole nhằm vào các trang web của Ukraine, do một nhóm gián điệp Nga giả danh thực hiện.

Đến năm 2025, bộ công cụ này xuất hiện trở lại trong các hoạt động tài chính của các tổ chức tội phạm mạng với các trang web giả mạo về tiền điện tử và cờ bạc.

Các nhà nghiên cứu an ninh cho rằng hacker đã cài đặt bộ khai thác này trên hàng trăm trang web độc hại, khiến hàng chục nghìn thiết bị bị nhiễm và thông tin người dùng về ví crypto bị đánh cắp. Sự phát triển của bộ công cụ này cho thấy công nghệ gián điệp mạng tinh vi nhất cuối cùng cũng có thể lọt vào tay các tổ chức tội phạm.

Thị trường khai thác zero-day ngày càng phát triển

Các nhà phân tích an ninh nhận định rằng Coruna phản ánh một xu hướng lớn hơn trong lĩnh vực an ninh mạng. Đó là sự phát triển của thị trường ngầm về các thiết bị tấn công tinh vi.

Các khung khai thác phức tạp hơn do chính phủ xây dựng để giám sát công dân hoặc thu thập dữ liệu tình báo đôi khi rơi vào tay các nhà cung cấp riêng lẻ hoặc thị trường đen, cuối cùng rơi vào tay tội phạm mạng.

Gần đây, người ta còn cho rằng Coruna có thể so sánh với các hoạt động giám sát iPhone nổi bật trước đó như Operation Triangulation, khai thác các lỗ hổng chưa được tiết lộ để xâm nhập thiết bị của Apple.

Việc các công cụ này chuyển từ lĩnh vực gián điệp sang tội phạm tài chính là một vấn đề đáng lo ngại, vì các lỗ hổng tinh vi này có thể nhanh chóng lọt vào thị trường ngầm.

Thiết bị của Apple không miễn nhiễm với các cuộc tấn công quy mô lớn

Trong nhiều năm, hệ sinh thái di động của Apple được xem là an toàn hơn so với phần lớn các hệ thống đối thủ nhờ môi trường ứng dụng hạn chế và hệ thống phần cứng-phần mềm kín.

Tuy nhiên, các vụ như Coruna cho thấy rằng các hệ thống an toàn nhất cũng có thể bị xâm phạm nếu kẻ tấn công có thể khai thác nhiều hơn một lỗ hổng zero-day.

Theo các nhà phân tích an ninh, thiết kế của bộ khai thác này đặc biệt đáng lo ngại vì nó có thể dẫn đến khai thác hàng loạt chứ không chỉ nhằm mục đích giám sát có mục tiêu. Một trang web độc hại duy nhất có thể lây nhiễm bất kỳ máy nào truy cập vào trang đó.

Các chuyên gia cho biết điều này đặc biệt nguy hiểm đối với những người sử dụng tiền điện tử và thường xuyên dùng các ứng dụng phi tập trung, trang xác nhận token hoặc các nhà cung cấp dịch vụ giao dịch thứ ba, khi các trò lừa đảo crypto ngày càng gia tăng.

Các biện pháp bảo vệ và phản ứng của Apple

May mắn thay, các nhà nghiên cứu cho biết rằng trong các phiên bản hệ điều hành mới nhất của Apple, công ty đã khắc phục các lỗ hổng mà Coruna khai thác.

Không nghi ngờ gì, bộ công cụ khai thác này không thể ảnh hưởng đến người dùng sử dụng các phiên bản iOS mới nhất. Các nhóm an ninh khuyên người dùng iPhone nâng cấp điện thoại của mình lên phiên bản iOS mới nhất ngay lập tức. Các lỗ hổng cho phép Coruna truy cập hệ thống ban đầu đã được vá trong bản cập nhật.

Để bảo vệ thiết bị, các chuyên gia cũng đề xuất bật Chế độ Cách ly (Lockdown Mode), một tùy chọn trên các thiết bị của Apple, giúp người dùng tránh bị xâm nhập bởi phần mềm gián điệp tinh vi trong trường hợp không thể cập nhật thiết bị. Theo các nhà nghiên cứu, Coruna tự động tạm dừng hoạt động khi phát hiện chế độ Lockdown đang bật trên thiết bị.