Nhóm tình báo mối đe dọa của Google (GTIG) đã công bố báo cáo vào thứ Tư, tiết lộ rằng một bộ công cụ khai thác lỗ hổng iPhone mới có tên gọi Coruna đã được triển khai trong các hoạt động lừa đảo tiền mã hóa quy mô lớn. Công ty an ninh hành động iVerify tiết lộ rằng bộ công cụ Coruna có thể bắt nguồn từ chính phủ Mỹ, và sau khi mất kiểm soát, đã bị các đối thủ và tổ chức tội phạm mạng chuyển hướng sử dụng để thực hiện các vụ lừa đảo tiền mã hóa.

Phân tích kỹ thuật bộ công cụ Coruna: Làm thế nào để nhắm mục tiêu trộm ví tiền mã hóa

(Nguồn: Mandiant)

Coruna sử dụng công nghệ JavaScript để nhận dạng dấu vân tay các thiết bị iOS truy cập vào các trang web giả mạo, xác nhận phiên bản mục tiêu rồi tự động triển khai các khai thác lỗ hổng. Một khi thiết bị bị xâm nhập, bộ công cụ sẽ hệ thống hóa tìm kiếm các loại thông tin nhạy cảm sau:

Mật khẩu ghi nhớ mã hóa (助記詞): Chủ động quét các tệp văn bản địa phương chứa từ khóa “backup phrase” (danh sách sao lưu) và “seed phrase” (danh sách hạt giống).
Các ứng dụng tiền mã hóa phổ biến: Nhắm mục tiêu các ví phi tập trung như Uniswap và MetaMask để trích xuất khoá hoặc dữ liệu tài khoản.
Thông tin tài khoản tài chính: Đồng bộ tìm kiếm các dữ liệu nhạy cảm liên quan đến ngân hàng và các phương thức thanh toán khác.

GTIG xác nhận rằng Coruna không tương thích với phiên bản iOS mới nhất hiện nay. Tất cả người dùng iPhone nên cập nhật hệ điều hành ngay lập tức. Những người không thể nâng cấp nên kích hoạt chế độ “Lockdown Mode” do Apple cung cấp, được chính hãng tuyên bố có thể chống lại các cuộc tấn công có tính chất phức tạp cao.

Từ hoạt động tình báo đến các trang web lừa đảo tiền mã hóa: Hai con đường phát tán của Coruna

Theo theo dõi của GTIG, bộ công cụ Coruna đã trải qua hai giai đoạn sử dụng hoàn toàn khác nhau. Ban đầu, có khả năng tổ chức tình báo Nga đã xâm nhập các trang web của Ukraine để nhắm mục tiêu các người dùng iPhone ở các khu vực địa lý nhất định, thể hiện đặc điểm của hoạt động thu thập tình báo truyền thống.

Vào tháng 12 năm 2025, GTIG phát hiện cùng một khung JavaScript trong một loạt các trang web tài chính giả mạo bằng tiếng Trung quy mô lớn, trong đó có một trang giả mạo trực tiếp sàn giao dịch tiền mã hóa WEEX. Khi người dùng iOS truy cập các trang web giả này, bộ công cụ tự động trích xuất thông tin tài chính trong nền, ưu tiên lấy mật khẩu ghi nhớ ví tiền mã hóa, gây ra mối đe dọa trực tiếp đến tài sản của người dùng, biến công cụ tấn công tình báo ban đầu thành một phương thức lừa đảo tiền mã hóa quy mô lớn.

Tranh cãi về nguồn gốc: Công cụ của chính phủ Mỹ hay phần mềm gián điệp thương mại?

Điểm gây tranh cãi lớn nhất của vụ việc này là nguồn gốc tiềm năng của Coruna. Rocky Cole, đồng sáng lập của iVerify, nói với WIRED rằng bộ công cụ này “rất phức tạp, được phát triển tốn hàng triệu đô la, và có các đặc điểm đặc trưng của các module đã từng bị cáo buộc liên quan đến chính phủ Mỹ,” và cho rằng đây có thể là “một trường hợp lần đầu tiên công cụ của chính phủ Mỹ bị mất kiểm soát rồi bị các đối thủ và tổ chức tội phạm mạng lợi dụng.”

Tuy nhiên, các nhà nghiên cứu an ninh hàng đầu của Kaspersky lại có quan điểm khác, cho biết rằng “trong các báo cáo đã công bố, họ chưa phát hiện bằng chứng nào cho thấy có việc tái sử dụng mã nguồn thực tế,” và GTIG cũng chưa tiết lộ trực tiếp danh tính khách hàng của công ty giám sát đầu tiên sử dụng Coruna, khiến vấn đề quy trách nhiệm vẫn còn bỏ ngỏ.

Các câu hỏi thường gặp

Coruna có ảnh hưởng đến các phiên bản iPhone mới nhất không?
GTIG xác nhận rằng 5 chuỗi khai thác lỗ hổng của Coruna đều nhắm vào các phiên bản iOS từ 13.0 đến 17.2.1, không tương thích với hệ điều hành iOS mới nhất hiện nay. Tất cả người dùng iPhone nên cập nhật hệ điều hành ngay lập tức. Những người không thể nâng cấp nên kích hoạt chế độ “Lockdown Mode” để giảm thiểu rủi ro.

Google phát hiện Coruna được dùng trong các hoạt động lừa đảo tiền mã hóa như thế nào?
Vào tháng 2 năm 2025, GTIG đã xác định một số đặc điểm mã của bộ công cụ này, truy tìm ra cùng một khung JavaScript trong các trang web Ukraine bị xâm nhập. Sau đó, họ phát hiện bộ công cụ đã được triển khai đầy đủ trong một loạt các trang web giả mạo lớn của Trung Quốc, trong đó có một trang giả mạo trực tiếp sàn WEEX. Điều này xác nhận rằng bộ công cụ đã chuyển từ mục đích tấn công tình báo sang một công cụ lừa đảo tiền mã hóa quy mô lớn.

Làm thế nào để bảo vệ mật khẩu ghi nhớ ví tiền mã hóa khỏi bị bộ công cụ này trộm?
Ngoài việc cập nhật hệ điều hành iOS ngay lập tức, người dùng nên lưu trữ mật khẩu ghi nhớ trong các phương tiện lưu trữ lạnh hoàn toàn ngoại tuyến như ví phần cứng hoặc bản sao giấy. Tránh lưu trữ mật khẩu dưới dạng rõ trên các thiết bị kết nối mạng. Đồng thời, cần xác thực lại tính xác thực của tất cả các trang web liên quan đến tiền mã hóa để tránh truy cập các trang web tài chính không rõ nguồn gốc.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bài viết liên quan

a16z ủng hộ CFTC về thị trường dự đoán, trích dẫn khối lượng $150B Polymarket-Kalshi

Dự đoán thị trường Địa chính trị Quy định và Chính sách Biện pháp thực thi

Theo The Block, Andreessen Horowitz đã nộp một thư góp ý 18 trang cho Ủy ban Giao dịch Hàng hóa Tương lai (CFTC) vào hôm thứ Sáu, ủng hộ việc quản lý liên bang đối với các thị trường dự đoán và phản đối các biện pháp siết chặt ở cấp tiểu bang. A16z cho rằng các thư yêu cầu ngừng hoạt động và các lệnh cấm do cơ quan quản lý ở bang đề xuất

GateNews7giờ trước

Lãnh đạo Reform của Anh Farage đối mặt với cuộc điều tra xung đột lợi ích sau khi nhận 5 triệu bảng Anh, đảng đề xuất giảm thuế crypto từ 24% xuống 10%

Địa chính trị Quy định và Chính sách

Theo ChainCatcher, lãnh đạo Đảng Reform của Vương quốc Anh, Nigel Farage, đang đối mặt với các cáo buộc xung đột lợi ích sau khi nhận khoản quyên góp cá nhân trị giá 5 triệu bảng Anh từ nhà đầu tư crypto Christopher Harborne vào năm 2024. Sau khi quyên góp, đảng đã đề xuất các thay đổi quy định vào năm 2025 nhằm cắt giảm cry

GateNews14giờ trước

Ngân hàng Trung ương Anh (Bank of England) cân nhắc hoãn dự án Britcoin vào mùa hè này, chuyển sang giám sát token hóa tư nhân

Địa chính trị

Theo Bloomberg, Ngân hàng Trung ương Anh (BoE) và Bộ Tài chính Anh đang thảo luận việc làm chậm dự án đồng pound kỹ thuật số (Britcoin), trong đó quyết định ban đầu dự kiến vào mùa hè này nay có khả năng sẽ bị hoãn lại. Các cơ quan quản lý muốn trước tiên theo dõi tiến độ từ khu vực tư nhân

GateNews17giờ trước

Tình hình Trung Đông có bước ngoặt: Dầu thô giảm, Bitcoin tăng; chứng khoán Mỹ lập đỉnh mới

bitcoin news Địa chính trị Cổ phiếu Kim loại Ngoại hối Hàng hóa

Iran đã thông báo lập trường chấm dứt chiến sự với các quốc gia ở Vịnh, giá dầu lao dốc mạnh, Bitcoin và vàng tăng nhanh trong ngắn hạn, và thị trường chứng khoán Mỹ lập đỉnh mới lần nữa. Bài viết đi sâu phân tích cơ chế lan truyền của việc giảm thiểu rủi ro địa chính trị sang từng nhóm tài sản.

GateInstantTrends05-01 15:28

Iran phản hồi dự thảo hòa bình của phía Mỹ: giá dầu giảm gần 2%, bước ngoặt của chiến tranh xuất hiện

Kinh tế vĩ mô Địa chính trị Hàng hóa

Axios cho biết Iran đã thông qua sự trung gian của Pakistan để đáp lại chính thức bản dự thảo hiệp định hòa bình sau khi phía Mỹ đã sửa đổi; thị trường dầu nhanh chóng suy yếu, hợp đồng dầu thô tương lai tại New York giảm gần 2% xuống 103,27 USD, Brent quanh 110,23 USD. Sự việc này trùng với thời hạn 60 ngày của War Powers Resolution sắp hết, tạo sự tương ứng với nhận định của Trump rằng chiến tranh đã kết thúc. Điểm tiếp theo cần theo dõi là nội dung phản hồi của Iran, ngưỡng phê chuẩn của Quốc hội và lập trường của Trump; nếu tình hình hạ nhiệt, việc giá dầu có thể quay đầu giảm, từ đó có khả năng ảnh hưởng đến kỳ vọng lạm phát và chính sách của Cục Dự trữ Liên bang Mỹ (Fed).

ChainNewsAbmedia05-01 14:27

Tether cho vay qua quỹ tín thác gia đình của Lutnick: Thượng nghị sĩ Đảng Dân chủ truy vấn đường dây chuyển lợi ích giữa chính trị và doanh nghiệp

USDT news Địa chính trị Quy định và Chính sách Biện pháp thực thi

Warren và Wyden gửi tới Lutnick và CEO Tether Ardoino yêu cầu các tài liệu liên quan đến khoản vay mà Dynasty Trust A cung cấp cho con cái của Lutnick. Khoản vay được bảo đảm bằng tài sản của quỹ tín thác, đổi lại là các quyền chọn cổ phiếu 5% của Tether và trái phiếu chuyển đổi của Cantor Fitzgerald, với thời điểm được tiết lộ vào ngày kế tiếp sau khi Lutnick bán cổ phần của mình cho con cái. Câu hỏi trọng tâm là nguồn tiền và liệu có sự can thiệp hay giám sát của chính phủ hay không, từ đó có thể dẫn đến xung đột lợi ích. Nếu 5/13 không nhận được phản hồi, điều này có thể ảnh hưởng đến triển vọng của việc niêm yết tại Mỹ và Đạo luật GENIUS.

ChainNewsAbmedia05-01 14:26

Bình luận

0/400

Không có bình luận