谷歌详细介绍iPhone漏洞套件Coruna，成为加密钱包和iOS安全的新威胁

谷歌研究人员揭示了自2025年以来在多个行动中使用的先进iPhone漏洞套件，已成为加密攻击者的重要武器。

谷歌曝光Coruna框架及其iOS能力

根据谷歌威胁情报组的一份新报告，名为Coruna的强大漏洞框架正针对iPhone用户，利用一系列复杂的漏洞链。该工具包包含五个完整的iOS漏洞链和23个不同的漏洞，能够危害运行iOS 13至iOS 17.2.1的设备。

iPhone漏洞套件使攻击者能够通过Web内容执行恶意代码，利用苹果WebKit浏览器引擎和其他核心组件的漏洞。此外，一旦受害者打开被攻陷的网站，框架会立即识别设备，确定具体的iPhone型号和已安装的软件版本，然后选择最有效的漏洞链进行攻击。

研究人员解释说，获得初始访问权限后，恶意软件可以传送后续载荷，以收集高度敏感的数据，包括加密货币钱包信息、财务资料和其他私人记录，这些都可以被变现或在后续攻击中滥用。

从假冒加密网站到大规模数据采集

在多次观察到的行动中，Coruna框架通过假冒赌博和加密货币网站进行部署，专门诱骗iPhone用户。然而，攻击者也尝试了其他主题相关的着陆页面，以扩大潜在受害者范围，同时仍然重点关注数字资产持有者。

恶意载荷能够扫描设备上的图片和文件，寻找“备份短语”或“银行账户”等关键词。这意味着威胁行为者可以自动识别钱包恢复短语和其他财务数据，从而可能直接访问受害者的加密钱包和银行账户。

一旦恢复短语或其他秘密被窃取，犯罪分子可以在几乎没有被检测的情况下，将资金转移出受损的钱包。此外，这些被采集的数据还可以被转售给其他网络犯罪团伙，放大潜在影响。

从监控到国家级和网络犯罪的演变

谷歌的调查显示，Coruna工具集最初并非源自纯粹的犯罪圈。它首次出现在2025年的针对性监控行动中，操作者似乎专注于监视特定个人，而非大规模盗取资金。

然而，随着时间推移，iPhone漏洞套件逐渐转向更具攻击性和地缘政治敏感的行动。后来在乌克兰用户的watering-hole攻击中被发现，研究人员将其归因于一支疑似俄罗斯间谍组织。在这些行动中，被攻陷的网站被Coruna驱动的漏洞所植入。

最终，同一漏洞套件被与中国有关的财务动机黑客采用，标志着从传统间谍活动向明显追求利润的网络犯罪的转变。此外，这一发展也显示出，用于情报收集的工具一旦泄露或被共享，就可能迅速扩散到更广泛的犯罪生态系统中。

移动间谍软件迁移与加密风险的案例研究

安全分析师指出，Coruna展示了网络威胁格局中的一个更广泛趋势。复杂的、间谍级别的漏洞框架正逐步从政府或商业监控市场转向主流网络犯罪。这种移动间谍软件的迁移模糊了国家级工具与普通犯罪团伙使用工具之间的界限。

由于现代智能手机通常存储数字资产钱包、认证应用和个人文件，这些工具直接使大规模盗取加密钱包成为可能。此外，移动安全风险与加密货币目标的融合意味着任何未打补丁的存有数字资产的iOS设备都成为有吸引力的目标。

单一框架中存在多个iOS漏洞链也引发了重用的担忧。一旦某个攻击者获得Coruna，就可以将其用于新的行动，只需调整诱饵网站或载荷，而基本的漏洞利用逻辑基本保持不变。

缓解措施与iOS更新的重要性

研究人员强调，保持设备使用最新的iOS版本是最有效的防御措施之一。根据谷歌的说法，Coruna框架无法在最新的软件版本上运行，这些版本已修补了被利用的漏洞。然而，许多用户延迟更新，导致旧款iPhone长时间暴露在风险中。

专家建议，iPhone用户应在安全补丁发布后立即安装，避免在笔记应用或图片文件中输入恢复短语或银行信息，并在访问不熟悉的赌博或加密相关网站时保持警惕。对于高风险组织，还应考虑使用移动威胁检测工具和更严格的企业浏览策略。

从更广泛的角度来看，Coruna攻击链以WebKit为核心的特性凸显了单一WebKit浏览器漏洞如何开启全面设备危机的大门。这也强调了厂商快速、协调地部署补丁以及终端用户及时更新的必要性。

移动安全与数字资产的日益交汇

Coruna案例突显了移动操作系统安全与数字资产保护之间的深度融合。随着越来越多的人依赖智能手机管理加密货币、消息和银行业务，任何先进的iPhone漏洞套件都直接关系到资金的安全。

总之，谷歌追踪的行动历史显示，一个工具包可以从2025年的定向监控逐步演变为国家级watering-hole攻击，最终成为追求利润的盗窃工具。此外，这也表明防御者必须假设类似的框架已在流通，并优先考虑快速更新、钱包数据的安全存储以及持续监控移动威胁。