Google phát hiện bộ công cụ tấn công iOS dùng để lừa đảo crypto, đánh cắp seed phrase

Google phát hiện bộ công cụ tấn công iPhone nhằm đánh cắp seed phrase

Các nhà nghiên cứu bảo mật của Google Threat Intelligence Group (GTIG) cho biết họ đã phát hiện một bộ công cụ khai thác lỗ hổng mới nhắm vào người dùng iPhone, với mục tiêu chính là đánh cắp seed phrase của ví tiền mã hóa.

Bộ công cụ này có tên “Coruna”, được thiết kế để tấn công các thiết bị chạy iOS từ phiên bản 13.0 đến 17.2.1.

Theo báo cáo của Google, Coruna bao gồm 5 chuỗi khai thác iOS hoàn chỉnh và tổng cộng 23 lỗ hổng, trong đó có nhiều lỗ hổng chưa từng được công bố trước đó.

GTIG cho biết họ phát hiện bộ công cụ này lần đầu vào tháng 2/2025, ban đầu được sử dụng bởi một nhóm gián điệp nghi có liên hệ với Nga nhằm vào người dùng Ukraine, trước khi xuất hiện trên các trang web crypto giả mạo có nguồn gốc Trung Quốc.

Coruna exploit kit is targeting iOS.

Coruna leverages 23 exploits against Apple devices running iOS 13-17.2.1. It is being used for espionage, and by financially motivated actors to steal crypto.

Update your iOS devices, and learn more about this threat: pic.twitter.com/l8rK9ZOLsw

— Mandiant (part of Google Cloud) (@Mandiant) March 3, 2026

Lừa người dùng iPhone qua website crypto giả

Theo Google, Coruna thường được triển khai thông qua các website tài chính hoặc tiền mã hóa giả mạo.

Khi người dùng iPhone truy cập, hệ thống sẽ phân tích thiết bị bằng JavaScript để xác định phiên bản iOS và gửi mã khai thác phù hợp.

Một số website được phát hiện thậm chí giả mạo sàn giao dịch tiền mã hóa WEEX. Sau khi xâm nhập thiết bị, bộ công cụ này sẽ tìm kiếm thông tin tài chính nhạy cảm, bao gồm các tin nhắn chứa seed phrase, “backup phrase” hoặc thông tin tài khoản ngân hàng.

Ngoài ra, Coruna còn tìm cách truy cập các ứng dụng crypto phổ biến như Uniswap và MetaMask nhằm đánh cắp tài sản hoặc dữ liệu quan trọng của người dùng.

Khuyến cáo người dùng iPhone cập nhật iOS ngay lập tức

Google cho biết Coruna không hoạt động trên phiên bản iOS mới nhất, vì vậy người dùng iPhone được khuyến cáo cập nhật thiết bị lên phiên bản phần mềm mới nhất càng sớm càng tốt.

Nếu chưa thể cập nhật, người dùng nên kích hoạt “Lockdown Mode” – chế độ bảo mật nâng cao của Apple được thiết kế để chống lại các cuộc tấn công mạng tinh vi.

Một số chuyên gia bảo mật cho rằng bộ công cụ này có mức độ phức tạp rất cao, có thể đã tiêu tốn hàng triệu USD để phát triển.

Tuy nhiên, nguồn gốc của Coruna vẫn còn gây tranh cãi. Trong khi một số chuyên gia cho rằng nó có thể liên quan đến các công cụ giám sát cấp chính phủ, các nhà nghiên cứu khác cho biết chưa có bằng chứng rõ ràng về việc tái sử dụng mã nguồn từ các hệ thống trước đây.

Vụ việc tiếp tục làm dấy lên lo ngại rằng các công cụ tấn công mạng tinh vi đang dần bị rò rỉ và tái sử dụng bởi tội phạm mạng, đặc biệt trong lĩnh vực tiền mã hóa – nơi các tài sản kỹ thuật số có thể bị đánh cắp chỉ với một seed phrase.