iPhone用户小心！Google警告：Coruna攻击套件肆虐中，专偷加密货币

谷歌揭露 Coruna iOS 套件含有23個漏洞，從國家監控工具流入黑市，鎖定 iPhone 加密資產並以零點擊方式竊取私鑰。

從國家級監控工具進化為「資產收割機」

根據谷歌威脅情報小組（GTIG）發布的深度報告，代號為 Coruna（亦稱為 CryptoWaters）的 iOS 漏洞套件正對全球 iPhone 用戶構成嚴重威脅。這款工具的發展路徑極具戲劇性，**2025 年 2 月首次被發現時，源自私人監控廠商提供給政府客戶，用於針對政治人物與異議人士的精準監控。**隨後在 2025 年夏季，與俄羅斯政府有關聯的駭客組織 UNC6353 掌控了該套件，將其用於針對烏克蘭公民的地緣政治情報行動。

圖源：谷歌 Coruna 發現時間軸

隨著技術外溢，這款耗資數百萬美元開發的專業級工具已正式流入網路犯罪市場。在 2025 年底至 2026 年初，一個中國駭客組織 UNC6691 取得了該技術，並將攻擊重點轉向劫掠數位資產。這象徵著高階間諜工具已商品化，從針對特定目標的情報獲取，轉變為對普通加密貨幣持有者的大規模財富掠奪。研究人員指出，駭客願意投入高昂的技術成本，顯示出加密資產背後的巨大利益足以驅使專業技術流向金融犯罪。

23 種漏洞連鎖反應：隱藏在「水坑」後的靜默滲透

Coruna 套件具有極高的自動化與隱蔽性，內部整合了 23 個獨立漏洞，並形成 5 條完整的攻擊鏈。**其受影響範圍廣泛，涵蓋 iOS 13.0 至 iOS 17.2.1 的所有 iPhone 與 iPad 裝置。**駭客採用隱蔽的「水坑攻擊（Watering Hole Attack）」策略，通過入侵或架設偽造的加密貨幣交易所與金融網站來誘捕受害者。這些站點如偽造的 WEEX 交易平台，外觀與功能幾乎與官方網站無異，甚至利用搜尋引擎優化與付費廣告來提升曝光率。

圖源：谷歌偽造的 WEEX 交易平台

當 iPhone 用戶訪問這些受污染的網頁時，背景腳本會立即執行設備識別。系統會靜默檢查 iOS 版本，若確認設備版本在攻擊範圍內，便會自動觸發零點擊（Zero-click）漏洞滲透，整個過程不需用戶任何互動或點擊下載連結。部分偽造網站甚至會主動提示用戶使用 iOS 裝置瀏覽，聲稱能提供更佳體驗，實則為了精準鎖定尚未更新系統的脆弱目標。

連相簿內的截圖都無法倖免

一旦 Coruna 成功取得設備權限，其惡意程式 PlasmaLoader 便會啟動，對用戶的數位資產進行盤點。該程式具有強大的掃描能力，會主動在設備中搜尋特定關鍵字，例如「backup phrase」（備份短語）、「bank account」（銀行帳戶）或「seed phrase」（助記詞），並從簡訊與備忘錄中提取關鍵數據。這款套件更具備影像辨識功能，能自動掃描用戶相簿中的截圖，尋找存放錢包助記詞或私鑰的 QR Code。

除了靜態數據收集外，Coruna 還針對市場上主流的加密貨幣錢包應用如 MetaMask 和 Uniswap 進行攻擊。駭客試圖從這些應用中提取敏感資訊，以掌握錢包的完整控制權。在多宗已知案例中，受害者的資金在訪問偽造網站後短時間內即被轉移。由於攻擊鎖定系統底層權限，只要私鑰曾在手機內留下任何數位痕跡，都難以逃脫這款情報級工具的搜集。

圖源：谷歌列出所有可能被惡意程式攻擊的 App

防禦法則與生存指南？系統更新是安全關鍵

面對如此精密的高階威脅，iPhone 用戶應採取明確的防護措施。**谷歌報告指出，Coruna 對 iOS 17.3 或更高版本完全無效。雖然目前系統已推送至更高版本，但仍有部分用戶因設備老舊或空間不足未及時更新，導致風險仍存。**對於無法升級至安全版本的舊款機型，開啟蘋果提供的「鎖定模式（Lockdown Mode）」是有效的反制手段，惡意程式一旦偵測到此模式便會停止運行，以規避追蹤。

資安專家建議加密貨幣持有者應遵循基本生存守則。首要措施是使用硬體錢包（如 Ledger 或 Trezor），將私鑰永久離線，避免接觸 iOS 環境。其次應立即刪除相簿中所有包含助記詞或私鑰的截圖，改用離線實體備份方式。

儘管 Coruna 會避開無痕瀏覽模式以降低被發現的機率，但這僅是臨時措施。在數位資產價值日益攀升的今天，保持軟體更新與資安警覺，已成為每位投資者的基本責任。