ผู้ใช้ iPhone ระวัง! Google เตือน: ชุดโจมตี Coruna กำลังระบาด ลักลอบขโมยคริปโตเคอร์เรนซี

ภาพประกอบ: https://img-cdn.gateio.im/social/moments-f95a449a66-9f1e47987c-8b7abd-ceda62

Google เปิดเผยว่า ชุดเครื่องมือ Coruna สำหรับ iOS มีช่องโหว่จำนวน 23 จุด ไหลเข้าสู่ตลาดมืดจากเครื่องมือเฝ้าระวังระดับชาติ มุ่งเป้าไปที่ทรัพย์สินเข้ารหัสบน iPhone และสามารถขโมยกุญแจส่วนตัวโดยไม่ต้องให้ผู้ใช้คลิกใดๆ

จากเครื่องมือเฝ้าระวังระดับชาติ สู่ “เครื่องมือเก็บเกี่ยวทรัพย์สิน”

อ้างอิงรายงานเชิงลึกของกลุ่มข่าวกรองภัยคุกคามของ Google (GTIG) ชุดเครื่องมือช่องโหว่สำหรับ iOS ที่มีชื่อรหัสว่า Coruna (หรือ CryptoWaters) กำลังเป็นภัยคุกคามร้ายแรงต่อผู้ใช้ iPhone ทั่วโลก เส้นทางการพัฒนาของเครื่องมือนี้เต็มไปด้วยความพลิกผัน ครั้งแรกที่พบในกุมภาพันธ์ 2025 ถูกพัฒนาโดยบริษัทเอกชนที่ให้บริการสอดแนมแก่รัฐบาล โดยเน้นการสอดแนมเป้าหมายทางการเมืองและผู้เห็นต่าง ต่อมาในฤดูร้อนปี 2025 กลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลรัสเซีย UNC6353 เข้าควบคุมชุดเครื่องมือนี้และใช้ในการสอดแนมทางภูมิรัฐศาสตร์ต่อพลเมืองยูเครน

ภาพประกอบ: https://img-cdn.gateio.im/social/moments-0c108c41ba-34c500ecce-8b7abd-ceda62

ที่มา: ช่วงเวลาการค้นพบ Coruna ของ Google

ด้วยการแพร่กระจายของเทคโนโลยี เครื่องมือระดับมืออาชีพที่ใช้ทุนพัฒนาหลายล้านดอลลาร์นี้ ได้เข้าสู่ตลาดอาชญากรรมทางไซเบอร์อย่างเป็นทางการ ในช่วงปลายปี 2025 ถึงต้นปี 2026 กลุ่มแฮกเกอร์จีน UNC6691 ได้เข้าถึงเทคโนโลยีนี้และเปลี่ยนเป้าหมายจากการเก็บข้อมูลเชิงลึก ไปสู่การโจรกรรมทรัพย์สินดิจิทัล ซึ่งเป็นสัญญาณว่าชุดเครื่องมือสายลับระดับสูงนี้ได้กลายเป็นสินค้าเชิงพาณิชย์ เปลี่ยนจากการเก็บข้อมูลเพื่อเป้าหมายเฉพาะ ไปสู่การโจรกรรมทรัพย์สินจำนวนมากของผู้ถือครองคริปโตเคอร์เรนซี นักวิจัยชี้ให้เห็นว่าการที่แฮกเกอร์ยินลงทุนสูงในเทคโนโลยีนี้ แสดงให้เห็นว่าผลประโยชน์จากทรัพย์สินเข้ารหัสนั้นมีมูลค่ามากพอที่จะผลักดันเทคโนโลยีระดับมืออาชีพเข้าสู่การก่ออาชญากรรมทางการเงิน

ช่องโหว่ 23 จุด สะท้อนความลับใน “บ่อ” สู่การบุกรุกเงียบ

ชุดเครื่องมือ Coruna มีความอัตโนมัติสูงและซ่อนเร้นอย่างมาก ภายในประกอบด้วยช่องโหว่จำนวน 23 จุด ซึ่งเชื่อมโยงกันเป็นสายโจมตีสมบูรณ์ 5 ชุด ครอบคลุมอุปกรณ์ iPhone และ iPad ที่ใช้ iOS ตั้งแต่เวอร์ชัน 13.0 ถึง 17.2.1 กลุ่มแฮกเกอร์ใช้เทคนิค “Watering Hole Attack” หรือการโจมตีบ่อน้ำมัน โดยการบุกรุกหรือสร้างเว็บไซต์ปลอมของแพลตฟอร์มแลกเปลี่ยนคริปโตและเว็บไซต์การเงิน เพื่อหลอกล่อเหยื่อ เว็บไซต์เหล่านี้ เช่น แพลตฟอร์ม WEEX ปลอม ที่มีหน้าตาและฟังก์ชันเกือบเหมือนของจริง และใช้เทคนิค SEO รวมถึงโฆษณาแบบเสียเงินเพื่อเพิ่มการเข้าถึง

ภาพประกอบ: https://img-cdn.gateio.im/social/moments-57d9e41150-36eac011d2-8b7abd-ceda62

ที่มา: Google แสดงภาพเว็บไซต์ปลอมของ WEEX

เมื่อผู้ใช้ iPhone เข้าชมเว็บไซต์ที่ติดเชื้อ สคริปต์พื้นหลังจะทำการระบุอุปกรณ์ทันที ระบบจะตรวจสอบเวอร์ชัน iOS อย่างเงียบๆ หากพบว่าอยู่ในช่วงเป้าหมาย ก็จะเปิดช่องโหว่ Zero-click โดยอัตโนมัติ โดยไม่ต้องให้ผู้ใช้คลิกหรือดาวน์โหลดอะไรเพิ่มเติม บางเว็บไซต์ปลอมยังอาจแสดงข้อความเชิญชวนให้ใช้ iOS เพื่อประสบการณ์ที่ดีกว่า ซึ่งเป็นกลยุทธ์ในการเจาะเป้าหมายที่ยังไม่ได้อัปเดตระบบ

แม้แต่ภาพหน้าจอในอัลบั้มก็ไม่รอด

เมื่อ Coruna ได้รับสิทธิ์เข้าถึงอุปกรณ์แล้ว มัลแวร์ PlasmaLoader จะทำงานเพื่อสแกนและเก็บข้อมูลทรัพย์สินดิจิทัลของผู้ใช้ ด้วยความสามารถในการสแกนอย่างละเอียด ระบบจะค้นหาคำสำคัญ เช่น “backup phrase”, “bank account” หรือ “seed phrase” จากข้อความ SMS และบันทึกข้อมูลสำคัญเหล่านี้ นอกจากนี้ยังสามารถวิเคราะห์ภาพถ่ายในอัลบั้มโดยอัตโนมัติ ค้นหา QR Code ที่เก็บกุญแจส่วนตัวหรือคำเตือนของกระเป๋าเงินดิจิทัล

นอกจากการเก็บข้อมูลแบบคงที่แล้ว Coruna ยังโจมตีแอปกระเป๋าเงินคริปโตยอดนิยม เช่น MetaMask และ Uniswap แฮกเกอร์พยายามดึงข้อมูลสำคัญเพื่อควบคุมกระเป๋าเงินอย่างสมบูรณ์ ในหลายกรณีที่ทราบกันดี เงินของเหยื่อถูกโอนออกภายในเวลาสั้นๆ หลังจากเข้าเว็บไซต์ปลอม เนื่องจากการโจมตีนี้เข้าถึงระดับลึกของระบบ หากกุญแจส่วนตัวเคยอยู่ในอุปกรณ์ ก็ยากที่จะรอดพ้นจากการเก็บข้อมูลของเครื่องมือสายลับนี้

ภาพประกอบ: https://img-cdn.gateio.im/social/moments-23b8865890-bcc8b3d246-8b7abd-ceda62

ที่มา: Google รายชื่อแอปที่อาจถูกโจมตีโดยมัลแวร์

แนวทางป้องกันและคำแนะนำเพื่อความอยู่รอด? การอัปเดตระบบเป็นกุญแจสำคัญ

ในยุคของภัยคุกคามระดับสูงเช่นนี้ ผู้ใช้ iPhone ควรดำเนินมาตรการป้องกันอย่างชัดเจน รายงานของ Google ระบุว่า Coruna ไม่สามารถโจมตี iOS เวอร์ชัน 17.3 ขึ้นไปได้ แม้ระบบจะอัปเดตเป็นเวอร์ชันใหม่แล้ว แต่ยังมีผู้ใช้บางส่วนที่ยังคงใช้เครื่องรุ่นเก่า หรือไม่ได้อัปเดตเนื่องจากพื้นที่จัดเก็บเต็ม ก็เสี่ยงต่อการถูกโจมตี สำหรับอุปกรณ์รุ่นเก่าที่ไม่สามารถอัปเดตเป็นเวอร์ชันปลอดภัยได้ การเปิดใช้งาน “Lockdown Mode” ซึ่งเป็นโหมดความปลอดภัยที่ Apple ให้มา ก็เป็นวิธีป้องกันที่มีประสิทธิภาพ เมื่อมัลแวร์ตรวจพบโหมดนี้ ก็จะหยุดทำงานเพื่อหลีกเลี่ยงการติดตาม

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ถือครองคริปโตปฏิบัติตามแนวทางพื้นฐาน เช่น การใช้ฮาร์ดแวร์วอลเล็ต (เช่น Ledger หรือ Trezor) เพื่อเก็บกุญแจส่วนตัวแบบออฟไลน์ โดยไม่ให้สัมผัสกับสภาพแวดล้อม iOS ทันที และควรลบภาพหน้าจอที่มีคำเตือนหรือกุญแจส่วนตัวในอัลบั้มทันที รวมถึงการสำรองข้อมูลแบบออฟไลน์ด้วยอุปกรณ์จริง

แม้ Coruna จะพยายามหลบเลี่ยงโหมดการท่องเว็บแบบไม่ระบุตัวตน (Incognito Mode) เพื่อหลีกเลี่ยงการตรวจจับ แต่ก็เป็นเพียงมาตรการชั่วคราว ในยุคที่มูลค่าทรัพย์สินดิจิทัลเพิ่มสูงขึ้น การอัปเดตซอฟต์แวร์และการตื่นตัวด้านความปลอดภัย จึงเป็นหน้าที่พื้นฐานของนักลงทุนทุกคน