صور: https://img-cdn.gateio.im/social/moments-f95a449a66-9f1e47987c-8b7abd-ceda62
كشفت جوجل عن أن حزمة Coruna لنظام iOS تحتوي على 23 ثغرة أمنية، وتدخل السوق السوداء من أدوات المراقبة الوطنية، وتستهدف أصول التشفير على iPhone وتسرق المفاتيح الخاصة بدون نقرة.
من أدوات المراقبة الوطنية إلى “آلات حصاد الأصول”
وفقًا لتقرير عميق أصدرته مجموعة معلومات التهديدات من جوجل (GTIG)، فإن حزمة الثغرات لنظام iOS المسماة Coruna (المعروفة أيضًا باسم CryptoWaters) تشكل تهديدًا خطيرًا لمستخدمي iPhone حول العالم. مسار تطور هذه الأداة درامي للغاية، عندما تم اكتشافها لأول مرة في فبراير 2025، كانت تقدمها شركات مراقبة خاصة للعملاء الحكوميين، وتستهدف بشكل دقيق الشخصيات السياسية والمعارضين. وفي صيف 2025، سيطر عليها مجموعة هاكرز مرتبطة بالحكومة الروسية تُدعى UNC6353، واستخدمتها في أنشطة تجسس جيوسياسية ضد مواطني أوكرانيا.
صور: https://img-cdn.gateio.im/social/moments-0c108c41ba-34c500ecce-8b7abd-ceda62
المصدر: خط زمني لاكتشاف Coruna من جوجل
مع انتشار التقنية، دخلت هذه الأداة الاحترافية التي كلفت ملايين الدولارات السوق الإجرامية عبر الإنترنت رسميًا. بحلول نهاية 2025 وبداية 2026، حصلت مجموعة هاكرز صينية تُدعى UNC6691 على التقنية، ووجهت هجماتها نحو نهب الأصول الرقمية. هذا يمثل تحول أدوات التجسس عالية المستوى إلى سلع تجارية، حيث انتقلت من جمع المعلومات المستهدف إلى نهب ثروات عامة من حاملي العملات المشفرة. أشار الباحثون إلى أن رغبة الهاكرز في استثمار تكاليف تقنية عالية تظهر أن الأرباح الضخمة من الأصول المشفرة تدفع التخصصات التقنية إلى الاتجاه الإجرامي المالي.
سلسلة من 23 ثغرة: تسلل صامت خلف “بركة المياه”
تمتلك حزمة Coruna مستوى عاليًا من الأتمتة والسرية، حيث تتضمن 23 ثغرة مستقلة وتكوّن خمس سلاسل هجوم كاملة. وتشمل نطاق تأثيرها جميع أجهزة iPhone و iPad التي تعمل بنظام iOS من الإصدار 13.0 حتى 17.2.1. وتستخدم الهاكرز هجمات “بركة المياه” (Watering Hole Attack)، عبر اختراق أو إنشاء مواقع مزيفة لتبادل العملات المشفرة والمواقع المالية لجذب الضحايا. هذه المواقع، مثل منصة WEEX المزيفة، تظهر بشكل مشابه جدًا للمواقع الرسمية، وتستخدم تحسين محركات البحث والإعلانات المدفوعة لزيادة الظهور.
صور: https://img-cdn.gateio.im/social/moments-57d9e41150-36eac011d2-8b7abd-ceda62
المصدر: منصة WEEX المزيفة التي أنشأتها جوجل
عندما يزور مستخدمو iPhone هذه المواقع الملوثة، يتم تنفيذ سكربت خلفي على الفور للتعرف على الجهاز. يتحقق النظام بصمت من إصدار iOS، وإذا كان ضمن نطاق الهجوم، يتم تفعيل ثغرة بدون نقرة (Zero-click)، دون حاجة المستخدم لأي تفاعل أو ضغط على روابط. بعض المواقع المزيفة حتى تروج لنفسها من خلال إظهار رسائل تحث المستخدمين على تصفحها باستخدام أجهزة iOS، مدعية أنها توفر تجربة أفضل، لكن الهدف الحقيقي هو استهداف الأجهزة التي لم يتم تحديثها بعد.
حتى لقطات الشاشة في ألبوم الصور لا تنجو
بمجرد أن ينجح Coruna في الحصول على صلاحيات الجهاز، يتم تشغيل البرنامج الخبيث PlasmaLoader، الذي يبدأ في جرد الأصول الرقمية للمستخدم. يتمتع هذا البرنامج بقدرة عالية على المسح، حيث يبحث بشكل نشط عن كلمات رئيسية مثل “backup phrase” أو “bank account” أو “seed phrase”، ويستخرج البيانات الحساسة من الرسائل النصية والملاحظات. كما يمتلك القدرة على التعرف على الصور تلقائيًا، حيث يقوم بمسح لقطات الشاشة في ألبوم الصور للبحث عن رموز QR التي تحتوي على كلمات المرور أو المفاتيح الخاصة بالمحفظة.
بالإضافة إلى جمع البيانات الثابتة، يستهدف Coruna تطبيقات المحافظ المشهورة مثل MetaMask و Uniswap، محاولًا استخراج المعلومات الحساسة والسيطرة الكاملة على المحافظ. وفي العديد من الحالات المعروفة، يتم تحويل الأموال بسرعة بعد زيارة المواقع المزيفة. وبما أن الهجوم يستهدف صلاحيات النظام الأساسية، فإن أي أثر رقمي للمفتاح الخاص على الهاتف لا ينجو من أدوات التجسس هذه.
صور: https://img-cdn.gateio.im/social/moments-23b8865890-bcc8b3d246-8b7abd-ceda62
المصدر: جوجل تعرض جميع التطبيقات المحتملة التي يمكن أن تتعرض للهجمات الخبيثة
قواعد الدفاع ودليل البقاء؟ التحديث هو مفتاح الأمان
لمواجهة تهديدات عالية الدقة، يجب على مستخدمي iPhone اتخاذ إجراءات حماية واضحة. وأشارت تقارير جوجل إلى أن Coruna غير فعال على نظام iOS 17.3 أو أعلى. على الرغم من أن النظام قد تم تحديثه إلى إصدارات أعلى، إلا أن بعض المستخدمين لا يزالون يستخدمون أجهزة قديمة أو يعانون من نقص المساحة، مما يعرضهم للخطر. بالنسبة للأجهزة القديمة التي لا يمكن تحديثها، فإن تفعيل وضع القفل (Lockdown Mode) الذي توفره شركة أبل هو وسيلة فعالة للرد، حيث يتوقف البرنامج الخبيث عن العمل فور اكتشافه لهذا الوضع لتجنب التتبع.
ينصح خبراء الأمن السيبراني مالكي العملات المشفرة باتباع قواعد أساسية للبقاء على قيد الحياة. وأهم وسيلة حماية هي استخدام محافظ أجهزة مثل Ledger أو Trezor، بحيث تظل المفاتيح الخاصة دائمًا غير متصلة بالإنترنت ولا تتصل ببيئة iOS. ثانيًا، يجب حذف جميع لقطات الشاشة التي تحتوي على كلمات المرور أو المفاتيح الخاصة من الألبوم، والاعتماد على نسخ احتياطية مادية غير متصلة بالإنترنت.
على الرغم من أن Coruna تتجنب وضع التصفح الخاص لتقليل احتمالية الاكتشاف، إلا أن ذلك يظل إجراء مؤقتًا. مع ارتفاع قيمة الأصول الرقمية يومًا بعد يوم، فإن الحفاظ على تحديث البرامج واليقظة الأمنية أصبحا واجبًا أساسيًا لكل مستثمر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
