Google cảnh báo về các vụ lừa đảo tiền điện tử sử dụng bộ công cụ khai thác lỗ hổng bảo mật “mới và mạnh mẽ” trên iPhone

Các nhà nghiên cứu về an ninh mạng tại Google vừa công bố phát hiện một bộ công cụ khai thác lỗ hổng (exploit kit) mới nhắm mục tiêu vào người dùng iPhone của Apple, với mục đích đánh cắp cụm từ khôi phục (seed phrases) của ví tiền điện tử.

Coruna exploit kit is targeting iOS.

Coruna leverages 23 exploits against Apple devices running iOS 13-17.2.1. It is being used for espionage, and by financially motivated actors to steal crypto.

Update your iOS devices, and learn more about this threat: https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant (part of Google Cloud) (@Mandiant) March 3, 2026

Bộ công cụ này, được đặt tên là “Coruna” bởi các nhà phát triển, nhắm đến các thiết bị iPhone chạy hệ điều hành iOS từ phiên bản 13.0 đến 17.2.1. Theo báo cáo của Nhóm Tình báo Mối đe dọa Google (GTIG) vào thứ Tư, Coruna tích hợp “năm chuỗi khai thác lỗ hổng iOS hoàn chỉnh và tổng cộng 23 lỗ hổng”, bao gồm cả những lỗ hổng chưa từng được công khai trước đây.

GTIG cho biết họ lần đầu phát hiện bộ công cụ này vào tháng 2 năm 2025 và đã theo dõi việc nó được sử dụng bởi một nhóm gián điệp Nga nghi ngờ nhằm vào người Ukraine. Sau đó, bộ công cụ này tiếp tục xuất hiện trên các trang web tiền điện tử giả mạo của Trung Quốc, với mục tiêu đánh cắp tài sản tiền điện tử.

Không tương thích với iOS mới nhất, người dùng cần nâng cấp

GTIG cảnh báo rằng Coruna không hoạt động trên phiên bản iOS mới nhất và khuyến nghị người dùng iPhone nên nhanh chóng cập nhật thiết bị lên phiên bản phần mềm mới nhất để tránh rủi ro. Trong trường hợp không thể nâng cấp, người dùng nên kích hoạt chế độ “Lockdown Mode” (Chế độ Khóa), một tính năng mà Apple cho biết có thể giúp chống lại các cuộc tấn công tinh vi.

Chiêu thức tấn công qua trang web giả mạo

Theo GTIG, bộ công cụ này được phát hiện lần đầu vào tháng 2 năm 2025 khi một khách hàng của công ty giám sát sử dụng JavaScript để xác định thiết bị và cung cấp lỗ hổng phù hợp. Đến cuối năm đó, khung JavaScript tương tự đã được tìm thấy trên nhiều trang web của Ukraine bị xâm nhập, nhưng chỉ hiển thị cho người dùng iPhone tại một số vị trí địa lý nhất định.

Vào tháng 12 năm 2025, GTIG tiếp tục phát hiện khung JavaScript này trên hàng loạt trang web giả mạo của Trung Quốc, chủ yếu liên quan đến tài chính, bao gồm cả một trang web giả danh sàn giao dịch tiền điện tử WEEX. Khi người dùng truy cập các trang web này bằng thiết bị iOS, bộ khai thác sẽ được triển khai, tìm kiếm thông tin tài chính, và phân tích các văn bản chứa cụm từ khôi phục hoặc từ khóa như “backup phrase” hay “bank account”.

Không chỉ dừng lại ở đó, Coruna còn nhắm đến các ứng dụng tiền điện tử phổ biến như Uniswap và MetaMask để khai thác thông tin nhạy cảm hoặc tiền điện tử.

Nguồn gốc của Coruna gây tranh cãi

GTIG không tiết lộ danh tính khách hàng của công ty giám sát được cho là nguồn gốc của bộ công cụ khai thác này. Tuy nhiên, công ty bảo mật di động iVerify đã chia sẻ với WIRED rằng Coruna có thể đã được phát triển hoặc mua bởi chính phủ Mỹ.

“Nó sở hữu mức độ tinh vi cao, tiêu tốn hàng triệu đô la để phát triển, và mang dấu ấn của các mô-đun từng được công khai gán cho chính phủ Mỹ,” Rocky Cole, đồng sáng lập iVerify, nhận định với WIRED.

“Đây là trường hợp đầu tiên chúng tôi thấy về các công cụ rất có khả năng thuộc về chính phủ Mỹ — dựa trên những gì mã nguồn tiết lộ — mất kiểm soát và bị lợi dụng bởi cả đối thủ lẫn các nhóm tội phạm mạng.”

Tuy nhiên, nhà nghiên cứu bảo mật chính của Kaspersky lại bác bỏ giả thuyết này khi trao đổi với The Register. Ông cho biết công ty không tìm thấy bằng chứng nào về việc tái sử dụng mã nguồn trong các báo cáo được công bố để liên kết Coruna với chính phủ Mỹ hoặc bất kỳ tác giả nào khác.

• Hàn Quốc xuất hiện tổ chức “trả thù” trên Telegram được thanh toán bằng crypto
• Hoa Kỳ đã tịch thu và đóng băng 580 triệu đô la tiền điện tử từ “các tội phạm xuyên quốc gia Trung Quốc”