iPhone Dễ Bị Hack Vì Tiền Ảo: Cảnh Báo Lỗ Hổng "Coruna" Nghiêm Trọng!
Thị trường tiền điện tử (crypto) đang chứng kiến sự tăng trưởng mạnh mẽ, kéo theo đó là sự gia tăng của các mối đe dọa an ninh mạng nhắm vào người dùng. Mới đây, Google’s Threat Intelligence Group (GTIG) đã đưa ra cảnh báo về một bộ công cụ khai thác lỗ hổng iOS mới và cực kỳ nguy hiểm, có tên mã "Coruna". Bộ công cụ này được triển khai trên các trang web giả mạo tài chính và tiền điện tử, nhằm lừa người dùng iPhone truy cập và bị tấn công lén lút. Đối với những người nắm giữ tiền ảo, rủi ro là rất lớn: phân tích của GTIG cho thấy các chiến dịch này tập trung vào việc đánh cắp cụm từ khôi phục (seed phrase) và dữ liệu ví từ các ứng dụng di động phổ biến.
Coruna: Lỗ Hổng Nghiêm Trọng Ảnh Hưởng Đến iPhone
Coruna nhắm mục tiêu vào các thiết bị Apple chạy iOS từ phiên bản 13.0 đến 17.2.1, tích hợp tới 5 chuỗi khai thác hoàn chỉnh và 23 lỗ hổng khác nhau. GTIG cho biết họ đã thu hồi bộ công cụ này sau khi theo dõi sự phát triển của nó từ năm 2025, bắt đầu từ việc một khách hàng của một công ty giám sát thương mại sử dụng nó, sau đó lan rộng thông qua các cuộc tấn công "watering hole" trên các trang web Ukraine bị xâm nhập, và cuối cùng là phân phối rộng rãi thông qua các trang web lừa đảo bằng tiếng Trung Quốc liên kết với một đối tượng có động cơ tài chính mà họ theo dõi là UNC6691.
Cách Thức Lừa Đảo Nhắm Vào Người Dùng Crypto
Trong giai đoạn lừa đảo, GTIG nhận thấy khung JavaScript đằng sau Coruna được triển khai trên một "tập hợp rất lớn" các trang web giả mạo của Trung Quốc, chủ yếu tập trung vào chủ đề tài chính. Một ví dụ được GTIG dẫn chứng là một trang web giả mạo sàn giao dịch tiền điện tử WEEX, cố gắng chuyển hướng người dùng đến thiết bị iOS – sau đó, một iFrame ẩn sẽ được chèn vào để cung cấp bộ công cụ khai thác, bất kể vị trí địa lý của họ.
Cơ chế tấn công này đặc biệt nguy hiểm vì nó làm mờ ranh giới giữa phishing truyền thống và xâm nhập thiết bị hoàn toàn: theo GTIG, chỉ cần truy cập vào trang web bẫy từ một iPhone dễ bị tấn công là đủ để bắt đầu chuỗi khai thác. Khung này sẽ xác định kiểu máy và phiên bản iOS của thiết bị, sau đó tải khai thác thực thi mã từ xa WebKit phù hợp và bỏ qua xác thực con trỏ (PAC).
GTIG đã liên kết một khai thác WebKit RCE mà họ thu hồi được với CVE-2024-23222, lưu ý rằng nó đã được Apple khắc phục trong iOS 17.3 vào ngày 22 tháng 1 năm 2024.
PlasmaLoader: Phần Mềm Độc Hại Chuyên Steal Thông Tin Tài Chính
Ở cuối chuỗi, GTIG cho biết Coruna thả một stager mà họ gọi là PlasmaLoader (theo dõi là PLASMAGRID) và mô tả nó tập trung ít vào các tính năng giám sát cổ điển hơn và nhiều hơn vào việc đánh cắp thông tin tài chính. Theo GTIG, payload có thể giải mã mã QR từ hình ảnh được lưu trữ trên thiết bị và quét các khối văn bản để tìm các chuỗi từ BIP39, cùng với các từ khóa như "backup phrase" (cụm từ khôi phục) và "bank account" (tài khoản ngân hàng), bao gồm cả trong Apple Memos, sau đó nó có thể exfiltrate (tải dữ liệu ra ngoài).
Payload cũng có tính mô-đun. GTIG cho biết nó có thể tải xuống và chạy các mô-đun bổ sung từ xa, và nhiều mô-đun được xác định được thiết kế để móc các hàm và exfiltrate thông tin nhạy cảm từ các ứng dụng ví tiền điện tử phổ biến – bao gồm MetaMask, Trust Wallet, ví Uniswap, Phantom, Exodus và các ví hệ sinh thái TON như Tonkeeper.
Công ty bảo mật di động iVerify cũng đã đưa ra cảnh báo tương tự về sự phát triển này. Họ nhấn mạnh rằng các cuộc tấn công tương tự đã xảy ra trước đây, nhưng lần này nhắm vào các thiết bị di động.
Bảo Vệ Bản Thân Khỏi Lỗ Hổng Coruna
Google khuyến nghị người dùng nên cập nhật lên phiên bản iOS mới nhất để được bảo vệ khỏi Coruna. Nếu không thể cập nhật, GTIG khuyên bạn nên bật Chế độ Khóa (Lockdown Mode) của Apple. GTIG cũng cho biết họ đã thêm các trang web và miền được xác định vào Google Safe Browsing để giúp giảm thiểu rủi ro phơi nhiễm.
Đối với người dùng tiền điện tử, điều quan trọng nhất cần lưu ý là các ví di động nằm ở giao điểm giữa tài sản có giá trị cao và lưu lượng truy cập web thường xuyên, điều này khiến các chiến dịch "truy cập để xâm nhập" trở nên đặc biệt nguy hiểm. Báo cáo của GTIG cho thấy rằng quy trình lừa đảo không chỉ nhằm mục đích khiến nạn nhân kết nối ví của họ, mà còn là khiến họ truy cập vào đúng thiết bị, trên đúng phiên bản iOS, để việc khai thác có thể diễn ra.
Các Biện Pháp Phòng Ngừa Quan Trọng
- Luôn cập nhật iOS lên phiên bản mới nhất: Apple thường xuyên phát hành các bản cập nhật bảo mật để vá các lỗ hổng đã biết.
- Bật Chế độ Khóa (Lockdown Mode): Nếu không thể cập nhật iOS, hãy cân nhắc bật Chế độ Khóa để tăng cường bảo mật.
- Cẩn trọng với các liên kết và trang web lạ: Tránh nhấp vào các liên kết đáng ngờ hoặc truy cập các trang web không đáng tin cậy.
- Sử dụng xác thực hai yếu tố (2FA): Bật 2FA cho tất cả các tài khoản tiền điện tử của bạn để tăng cường bảo mật.
- Kiểm tra kỹ địa chỉ trang web: Luôn kiểm tra kỹ địa chỉ trang web trước khi nhập thông tin đăng nhập hoặc thông tin cá nhân.
- Sử dụng phần mềm diệt virus: Cân nhắc sử dụng phần mềm diệt virus trên thiết bị di động của bạn để phát hiện và loại bỏ phần mềm độc hại.
Tại thời điểm viết bài, tổng vốn hóa thị trường tiền điện tử là 2.45 nghìn tỷ đô la. Việc bảo vệ tài sản kỹ thuật số của bạn là điều tối quan trọng trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng.
Hình ảnh nổi bật được tạo bằng DALL.E, biểu đồ từ TradingView.com