Breaking News

Google phát hiện bộ công cụ tấn công iOS dùng trong các vụ lừa đảo crypto

Kaido

3 min read
Google phát hiện bộ công cụ tấn công iOS dùng trong các vụ lừa đảo crypto

Google vừa phát hiện một bộ công cụ khai thác (exploit kit) nhắm vào iPhone, được sử dụng trong các cuộc tấn công lừa đảo nhằm đánh cắp seed phrase ví crypto và dữ liệu tài chính của người dùng.

Theo báo cáo từ nhóm Google Threat Intelligence Group (GTIG), bộ công cụ này có tên “Coruna”, được thiết kế để khai thác các lỗ hổng trên iPhone chạy iOS từ phiên bản 13.0 đến 17.2.1.

Bộ công cụ này cực kỳ phức tạp, bao gồm:

  • 5 chuỗi khai thác iOS hoàn chỉnh
  • 23 lỗ hổng bảo mật
  • Trong đó có nhiều lỗ hổng chưa từng được công bố trước đó

Tấn công người dùng crypto thông qua website giả

Các nhà nghiên cứu cho biết bộ công cụ này được sử dụng trên các trang web crypto giả mạo nhằm đánh cắp thông tin ví tiền điện tử.

Khi người dùng iPhone truy cập vào các trang web này, hệ thống sẽ:

  1. Kiểm tra thiết bị bằng JavaScript để xác định phiên bản iOS
  2. Nếu phù hợp, website sẽ tải exploit kit Coruna vào thiết bị
  3. Sau đó phần mềm độc hại sẽ tìm kiếm thông tin tài chính

Mục tiêu chính là:

  • Seed phrase ví crypto
  • thông tin ngân hàng
  • dữ liệu tài chính khác

Phần mềm độc hại đặc biệt tìm các cụm từ như:

  • “backup phrase”
  • “seed phrase”
  • “bank account”

Nhắm vào các ứng dụng crypto phổ biến

Bộ công cụ này còn được thiết kế để quét các ứng dụng crypto trên điện thoại, bao gồm:

  • Uniswap
  • MetaMask

Nếu phát hiện các ứng dụng này, nó sẽ tìm cách trích xuất dữ liệu nhạy cảm hoặc tài sản crypto.

Bắt đầu từ chiến dịch gián điệp mạng

Google cho biết họ phát hiện bộ công cụ này lần đầu vào tháng 2/2025.

Ban đầu nó được sử dụng bởi một nhóm gián điệp mạng nghi có liên quan đến Nga, nhắm vào người dùng tại Ukraine.

Sau đó, các nhà nghiên cứu phát hiện cùng một framework tấn công được sử dụng trên hàng loạt website crypto giả mạo bằng tiếng Trung, bao gồm cả trang web giả danh sàn giao dịch crypto WEEX.

Không hoạt động trên iOS mới nhất

Google cho biết bộ công cụ không còn hoạt động trên phiên bản iOS mới nhất.

Do đó, người dùng iPhone được khuyến cáo:

  • Cập nhật iOS lên phiên bản mới nhất ngay lập tức
  • Nếu chưa thể cập nhật, nên bật Lockdown Mode

Chế độ Lockdown của Apple được thiết kế để chống lại các cuộc tấn công mạng tinh vi.

Tranh cãi về nguồn gốc của công cụ tấn công

Một số chuyên gia cho rằng bộ công cụ này có thể liên quan đến công nghệ do chính phủ Mỹ phát triển.

Công ty bảo mật iVerify cho biết:

  • Bộ công cụ có mức độ phức tạp cao
  • Có thể tốn hàng triệu USD để phát triển
  • Có dấu hiệu giống với các công cụ từng được cho là do chính phủ Mỹ sử dụng

Tuy nhiên, các nhà nghiên cứu của Kaspersky cho rằng chưa có bằng chứng rõ ràng để khẳng định Coruna có cùng tác giả với các công cụ đó.

Lời cảnh báo cho người dùng crypto

Vụ việc cho thấy các cuộc tấn công nhằm vào người dùng crypto ngày càng tinh vi, đặc biệt khi chúng tận dụng các lỗ hổng hệ điều hành và website giả mạo.

Read more

## The below codes work for latest Ghost default theme source - v1.2.3