المؤلف: ماكس، مدينة التشفير
تطور من أداة مراقبة على مستوى الدولة إلى “آلة حصاد الأصول”
وفقًا لتقرير عميق أصدرته مجموعة معلومات التهديدات من جوجل (GTIG)، فإن مجموعة الثغرات لنظام iOS المعروفة باسم Coruna (المعروفة أيضًا باسم CryptoWaters) تشكل تهديدًا خطيرًا لمستخدمي iPhone حول العالم. مسار تطور هذه الأداة درامي للغاية، عندما تم اكتشافها لأول مرة في فبراير 2025، كانت تقدمها شركات مراقبة خاصة للعملاء الحكوميين، وتستهدف بشكل دقيق الشخصيات السياسية والمعارضين. ثم في صيف 2025، سيطر عليها مجموعة قراصنة مرتبطة بالحكومة الروسية UNC6353، واستخدمتها في أنشطة تجسس جيوسياسية ضد مواطني أوكرانيا.
المصدر: جوجل | خط زمني لاكتشاف Coruna
مع انتشار التقنية، أصبحت هذه الأداة الاحترافية التي كلفت ملايين الدولارات في التطوير، متداولة رسميًا في سوق الجرائم الإلكترونية. في نهاية عام 2025 وبداية 2026، حصلت مجموعة قراصنة صينية تُعرف باسم UNC6691 على التقنية، ووجهت هجماتها نحو سرقة الأصول الرقمية. هذا يمثل تحولًا من أدوات تجسس عالية المستوى إلى سلع تجارية، حيث تحولت من جمع المعلومات المستهدفة إلى نهب ثروات واسعة النطاق لمستخدمي العملات المشفرة العاديين. وأشار الباحثون إلى أن رغبة القراصنة في استثمار تكاليف تقنية عالية تظهر أن الأرباح الكبيرة من الأصول المشفرة تدفعهم نحو تحويل التقنية إلى جرائم مالية محترفة.
23 ثغرة تؤدي إلى تفاعل متسلسل: التسلل الصامت خلف “البرك”
تمتلك مجموعة Coruna مستوى عاليًا من الأتمتة والسرية، حيث تتضمن 23 ثغرة مستقلة وتكوّن 5 سلاسل هجوم كاملة. تغطي نطاقًا واسعًا، يشمل جميع أجهزة iPhone و iPad التي تعمل بنظام iOS 13.0 حتى iOS 17.2.1. يستخدم القراصنة تقنية “الهجوم على البرك المائية” (Watering Hole Attack)، من خلال اختراق أو إنشاء مواقع مزيفة لتبادل العملات المشفرة والمواقع المالية لجذب الضحايا. هذه المواقع، مثل منصة WEEX المزيفة، تبدو وتعمل تقريبًا كالمواقع الرسمية، وتستخدم تحسين محركات البحث والإعلانات المدفوعة لزيادة الظهور.
المصدر: جوجل | منصة WEEX المزيفة
عندما يزور مستخدمو iPhone هذه المواقع الملوثة، يتم تنفيذ سكريبت خلفي على الفور للتعرف على الجهاز. يتحقق النظام بصمت من إصدار iOS، وإذا كان ضمن نطاق الهجوم، يتم تفعيل ثغرة Zero-click دون أي تفاعل من المستخدم أو نقر على روابط. بعض المواقع المزيفة حتى تروج لنفسها من خلال مطالبة المستخدمين باستخدام أجهزة iOS لتجربة أفضل، بهدف استهداف الأجهزة غير المحدثة والضعيفة بدقة.
حتى لقطات الشاشة في ألبوم الصور لا تنجو
بمجرد أن ينجح Coruna في الحصول على صلاحيات الجهاز، يبدأ البرنامج الخبيث PlasmaLoader في العمل، ويقوم بجرد الأصول الرقمية للمستخدم. يتمتع هذا البرنامج بقدرة مسح قوية، حيث يبحث عن كلمات مفتاحية محددة مثل “عبارة النسخ الاحتياطي” أو “حساب البنك” أو “عبارة البذرة”، ويستخرج البيانات الحساسة من الرسائل القصيرة والملاحظات. كما يمتلك تقنية التعرف على الصور، حيث يقوم بمسح لقطات الشاشة في ألبوم الصور للبحث عن رموز QR التي تحتوي على كلمات المرور أو المفاتيح الخاصة بالمحفظة.
بالإضافة إلى جمع البيانات الثابتة، يستهدف Coruna تطبيقات المحافظ المشفرة الشائعة مثل MetaMask و Uniswap، محاولًا استخراج المعلومات الحساسة والسيطرة الكاملة على المحافظ. في العديد من الحالات المعروفة، تم تحويل أموال الضحايا خلال وقت قصير بعد زيارة المواقع المزيفة. نظرًا لأن الهجوم يستهدف صلاحيات النظام الأساسية، فإن أي أثر رقمي للمفاتيح الخاصة على الهاتف لا يمكن إخفاؤه من قبل هذه الأداة التجسسية.
المصدر: جوجل | قائمة بجميع التطبيقات المحتملة التي يمكن أن تتعرض للهجوم بواسطة البرامج الخبيثة
قواعد الدفاع ودليل البقاء؟ التحديثات النظامية هي المفتاح للأمان
لمواجهة التهديدات عالية الدقة، يجب على مستخدمي iPhone اتخاذ تدابير حماية واضحة. أشار تقرير جوجل إلى أن Coruna غير فعال على نظام iOS 17.3 أو أعلى. على الرغم من أن النظام قد تم تحديثه إلى إصدار أعلى، إلا أن بعض المستخدمين لا يزالون يستخدمون أجهزة قديمة أو يعانون من نقص في المساحة، مما يعرضهم للخطر. بالنسبة للأجهزة القديمة التي لا يمكن تحديثها إلى إصدار آمن، فإن تفعيل وضع القفل (Lockdown Mode) الذي توفره شركة أبل هو وسيلة فعالة للرد، حيث يتوقف البرنامج الخبيث عن العمل عند اكتشاف هذا الوضع لتجنب التتبع.
ينصح خبراء الأمن السيبراني مالكي العملات المشفرة باتباع قواعد البقاء الأساسية. أولاً، يُنصح باستخدام محافظ أجهزة مثل Ledger أو Trezor، للحفاظ على المفاتيح الخاصة في وضع غير متصل وعدم تعرضها لنظام iOS. ثانيًا، يجب حذف جميع لقطات الشاشة التي تحتوي على كلمات المرور أو المفاتيح الخاصة من الألبوم، والاعتماد على نسخ احتياطية مادية غير متصلة.
على الرغم من أن Coruna يتجنب وضع التصفح الخاص لتقليل احتمالية الكشف، إلا أن ذلك يظل إجراءً مؤقتًا. مع ارتفاع قيمة الأصول الرقمية يومًا بعد يوم، فإن الحفاظ على تحديث البرمجيات واليقظة الأمنية أصبحا واجبًا أساسيًا لكل مستثمر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تم تفريغ بروتوكول Ekubo من 1.4 مليون دولار في WBTC عبر استغلال قائم على الموافقات
بحسب شركة أمن البلوك تشين Blockaid، فقدت Ekubo Protocol مؤخراً ما يقارب 1.4 مليون دولار في بيتكوين مُلتف (WBTC)، بعد أن استغل مهاجمون ثغرة في التحكم بالوصول في عقود مبدّلها عبر EVM. تجاوز المهاجمون آليات التحقق من المدفوعات لنهب الأموال من المحافظ
GateNewsمنذ 3 د
ملف ضحايا الإرهاب في كوريا الشمالية $71M يطالب ضد مخترقي اختراق Aave، وإعادة صياغة الهجوم بوصفه احتيالاً
قدّم محامو ضحايا ثلاث قضايا إرهابية مرتبطة بكوريا الشمالية استجابة من 30 صفحة يوم الثلاثاء، معيدين صياغة اختراق Aave في 18 أبريل باعتباره احتيالاً لا سرقة — وهو تمييز قانوني قد يمنح المهاجمين حقاً قانونياً في العملات المشفرة المسحوبة. ويسعى الضحايا إلى استرداد ما يقارب 71 مليون دولار
GateNewsمنذ 3 س
حوت تشفير يقاضي Coinbase بسبب تجميد أموال سرقة $55M DAI
رفعت حوتة قرمزية مجهولة الهوية تحمل اسم "D.B." دعوى قضائية، يوم الاثنين، ضد Coinbase ومتهم يُزعم أنه سرق أموالًا، بسبب رفض البورصة إعادة أموال مجمّدة مرتبطة بسرقة مقررة في أغسطس 2024، وذلك وفقًا لملف قضائي. وخسر المدّعي ما يقارب 55 مليون دولار بقيمة DAI في الحادث
CryptoFrontierمنذ 3 س
يكشف برنامج Bitcoin Core عن خلل قد يتيح للمعدّنين تعطل العقد.
كشف مطورو Bitcoin Core عن خلل شديد الخطورة يمكن أن يتيح للمنّين تعطلًا عن بُعد لبعض عقد شبكة Bitcoin.
ملخص
كشف Bitcoin Core عن الثغرة CVE-2024-52911، والتي تؤثر في الإصدارات الأقدم من 29.0، مع بقاء العقد الأقدم مكشوفة على الإنترنت.
احتاج المنّون إلى كتل برهان عمل مكلفة لتفعيل ذلك
Cryptonewsمنذ 5 س
تصاعد نزاع على حيازة أصول مجمّدة بقيمة 71 مليون دولار من Aave بعد حكم بشأن هجوم كوريا الشمالية: الاستناد إلى قانون التأمين لمكافحة الإرهاب
تصاعدت وتيرة هجمات كوريا الشمالية، إذ جُمّدت أصول بقيمة 71 مليونًا و100 ألف دولار من Aave في الجولة الثالثة. عدّل المدّعون حجّتهم ليطالبوا بأن ETH تُعدّ أموالًا تابعة للدولة الكورية الشمالية بموجب قانون TRIA، مؤكدين أن الأمر يتعلق بالاحتيال لا بالسرقة بهدف تجاوز دفوع “اللص لا يملك حيازة المسروق”، كما يطعنون في أهلية Aave (standing) ومكانتها في الحوكمة. نجح DeFi United في جمع أكثر من 328 مليون دولار، ما يعني أن التمويل كافٍ لتعويض المستخدمين المتضررين. قد تتحول القضية إلى سابقة محورية في فقه قضايا DeFi وحوكمة الـDAO.
ChainNewsAbmediaمنذ 7 س
