أداة مزعومة من الحكومة الأمريكية تسربت! جوجل تكشف عن نوع جديد من عمليات الاحتيال في العملات المشفرة وهجوم سلسلة iPhone

صور من جوجل تكشف عن احتيال العملات المشفرة

نشرت مجموعة معلومات التهديدات من جوجل (GTIG) يوم الأربعاء تقريرًا يكشف عن أداة استغلال ثغرات جديدة تسمى Coruna تم نشرها في أنشطة احتيال العملات المشفرة على نطاق واسع. كشفت شركة الأمان السيبراني iVerify أن أداة Coruna قد تكون من مصدر حكومي أمريكي، وأنها بعد فقدان السيطرة عليها، تم استخدامها من قبل خصوم ومنظمات إجرامية عبر الإنترنت في عمليات احتيال العملات المشفرة.

تحليل تقني لأداة Coruna: كيف يتم سرقة المحافظ الرقمية بشكل موجه

تستخدم Coruna تقنية JavaScript لتحديد بصمة أجهزة iOS التي تزور مواقع وهمية، وتقوم تلقائيًا بنشر برامج استغلال الثغرات بعد تحديد الإصدار المستهدف. بمجرد اختراق الجهاز، تبحث الأداة بشكل منهجي عن المعلومات الحساسة التالية:

مذكرات التشفير: مسح محلي للملفات التي تحتوي على كلمات رئيسية مثل “عبارة النسخ الاحتياطي” و"عبارة البذرة"

تطبيقات التشفير الشائعة: استهداف محافظ غير مركزية مثل Uniswap وMetaMask، واستخراج المفاتيح أو بيانات الحسابات

معلومات الحسابات المالية: البحث المتزامن عن حسابات البنوك وبيانات الدفع الحساسة الأخرى

أكدت GTIG أن Coruna غير متوافقة مع أحدث إصدار من iOS، وتوصي بشدة جميع مستخدمي iPhone بتحديث نظام التشغيل على الفور. وإذا لم يكن التحديث ممكنًا، يُنصح بتمكين “وضع القفل” الذي توفره شركة أبل، والذي تقول الشركة إنه فعال في مقاومة الهجمات المستهدفة والمعقدة.

من عمليات الاستخبارات إلى مواقع الاحتيال على العملات المشفرة: مساران لنشر Coruna

أظهرت تتبع GTIG أن أداة Coruna مرت عبر مرحلتين مختلفتين تمامًا من الاستخدام. في البداية، استُخدمت من قبل جهة مخابرات روسية محتملة، حيث استهدفت مواقع أوكرانية مخترقة، ووجهت الأداة إلى مستخدمي iPhone في مناطق جغرافية محددة، مع خصائص جمع معلومات تقليدية.

في ديسمبر 2025، اكتشفت GTIG ضمن مجموعة واسعة من المواقع المالية الصينية المزيفة التي تستخدم إطار JavaScript نفسه، موقعًا وهميًا يقلد منصة تبادل العملات المشفرة WEEX. عندما يزور مستخدمو iOS هذه المواقع المزيفة، تقوم الأداة تلقائيًا بجمع المعلومات المالية في الخلفية، مع التركيز بشكل خاص على مذكرات التشفير، مما يشكل تهديدًا مباشرًا للأمان المالي، ويحول الأداة من أداة للهجمات الاستخباراتية إلى وسيلة واسعة النطاق للاحتيال على العملات المشفرة.

جدل النسب: هل هي أداة حكومية أمريكية محتملة أم برمجيات تجسس تجارية؟

أكثر الجوانب إثارة للجدل في هذه الحادثة هو مصدر Coruna المحتمل. قال روكي كول، أحد الشركاء المؤسسين لـ iVerify، لمجلة WIRED إن الأداة “معقدة جدًا، وتطورت بتكلفة ملايين الدولارات، وتحتوي على علامات مميزة لوحدات برمجية يُعتقد أنها منسوبة للحكومة الأمريكية”، واعتبر أن هذه الحالة قد تكون “أول حالة يتم فيها فقدان السيطرة على أداة حكومية أمريكية من قبل خصوم ومنظمات إجرامية عبر الإنترنت”.

ومع ذلك، أعرب الباحث الأمني الرئيسي في كاسبرسكي (Kaspersky) عن موقف مختلف، مؤكدًا أن شركته “لم تعثر على أدلة على إعادة استخدام الكود بشكل فعلي في التقارير المنشورة” لدعم هذا النسب. كما لم تكشف GTIG في تقريرها عن هوية العميل المراقب المزعوم الذي يستخدم Coruna لأول مرة، مما يترك مسألة النسب غير محسومة مؤقتًا.

الأسئلة الشائعة

هل تؤثر أداة Coruna على أحدث إصدارات iPhone؟
أكدت GTIG أن جميع الثغرات الخمسة التي تستغلها Coruna تستهدف إصدارات iOS من 13.0 إلى 17.2.1، وهي غير متوافقة مع أحدث أنظمة iOS. يجب على جميع مستخدمي iPhone تحديث نظام التشغيل على الفور، وإذا لم يكن التحديث ممكنًا، يُنصح بتمكين “وضع القفل” لتقليل المخاطر.

كيف اكتشفت جوجل أن Coruna تُستخدم في عمليات احتيال العملات المشفرة؟
في فبراير 2025، حددت GTIG بعض خصائص الكود في الأداة، وتتبعته إلى إطار JavaScript نفسه المستخدم على مواقع أوكرانية مخترقة، ثم اكتشفت نشره بشكل كامل على مجموعة واسعة من المواقع الصينية المزيفة التي تقلد منصة WEEX، مؤكدة أن الأداة تحولت من أداة للهجمات الاستخباراتية إلى أداة واسعة النطاق للاحتيال على العملات المشفرة.

كيف يمكن حماية مذكرات التشفير من سرقتها بواسطة هذه الأدوات؟
بالإضافة إلى تحديث نظام iOS على الفور، يُنصح بتخزين المذكرات على وسائط تخزين باردة غير متصلة بالإنترنت (مثل محافظ الأجهزة أو النسخ الورقية)، وتجنب تخزين المذكرات بشكل واضح على الأجهزة المتصلة بالإنترنت، وإجراء تحقق ثانٍ من صحة المواقع المالية التي يتم زيارتها، وتجنب المواقع ذات المصادر غير الموثوقة.