北京
奔跑財經3月6日消息,谷歌威脅分析組警告稱,一個被開發者命名為"Coruna"的"新型且強大"的iOS漏洞工具包,已被部署在虛假金融和加密貨幣網站上,旨在誘騙iPhone用戶訪問那些能夠靜默實施漏洞利用的頁面。
對于加密貨幣持有者而言,風險是直接的:GTIG的分析顯示,這些攻擊活動的最終目標是竊取常用移動應用中的助記詞和錢包數據。Coruna的目標是運行iOS 13.0至iOS 17.2.1版本的蘋果設備,其捆綁了五個完整的漏洞利用鏈和23個漏洞。
GTIG表示,在詐騙浪潮階段,他們觀察到Coruna背后的JavaScript框架被部署在"非常大量"的、主要以金融為主題的簡體中文虛假網站上。GTIG引用了一個例子:一個假冒WEEX品牌的加密貨幣交易所頁面,試圖引導訪問者使用iOS設備——之后會注入一個隱藏的iFrame,"無論用戶身處何地",都會投遞漏洞利用工具包。
這種投遞機制之所以關鍵,是因為它模糊了傳統釣魚攻擊與直接設備入侵之間的界限:根據GTIG的描述,只要使用存在漏洞的iPhone訪問了設伏的頁面,就足以啟動攻擊鏈。該框架會對設備進行指紋識別,以確定型號和iOS版本,然后加載相應的WebKit遠程代碼執行漏洞和指針認證繞過。
在攻擊鏈的最后階段,GTIG稱Coruna會投放一個名為PlasmaLoader的加載器,并描述其重點不在于傳統的監控功能,而在于竊取財務信息。
用戶現在可以做什么
谷歌表示,Coruna"對最新版本的iOS無效",并敦促用戶進行更新。如果無法更新,GTIG建議啟用蘋果的鎖定模式。GTIG還表示,已將被識別的網站和域名添加到谷歌安全瀏覽中,以幫助減少進一步的暴露。
對于加密原生用戶而言,當前的直接啟示是實用的:移動錢包處于高價值資產與高頻網絡流量的交匯點,這使得"訪問即入侵"類攻擊活動具有獨特的危險性。GTIG的報告表明,這個詐騙漏斗不僅僅是為了讓受害者連接錢包,更是為了讓他們使用特定設備、運行特定iOS版本,以便漏洞利用能夠完成后續工作。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
