iPhone用戶當心 Coruna攻擊套件入侵舊版iOS專竊加密貨幣

Google威脅情報小組最新報告揭露，代號「Coruna」的iOS攻擊套件已從政府間諜工具轉型為加密貨幣竊盜武器。2025年底至2026年初，中國駭客組織UNC6691取得該技術後，將攻擊目標轉向全球iPhone用戶的數位資產。這款價值數百萬美元的專業工具內建23個漏洞，構成5條完整攻擊鏈，專門鎖定iOS 13.0至17.2.1版本裝置。駭客透過偽造加密貨幣交易所網站發動「水坑攻擊」，利用零點擊漏洞自動入侵造訪者裝置，無需任何使用者互動即可竊取錢包私鑰與助記詞，顯示高階間諜工具已全面商品化為金融犯罪利器。

從國家級監控到加密貨幣竊盜的演變軌跡

Coruna攻擊套件的發展堪稱網路武器市場化典型範例。2025年2月首次發現時，這是私人監視廠商向政府客戶提供的專業產品，針對政治人物與異議人士精準監控。2025年夏季，俄羅斯駭客組織UNC6353掌控該套件，投入烏克蘭地緣政治諜報活動。真正的轉折點發生在2025年底至2026年初，中國駭客組織UNC6691取得技術後，做出關鍵策略轉變——將攻擊重心從政治情報轉向數位資產劫掠。這項變革象徵高階間諜工具正式完成商品化，從針對特定目標的精準打擊，演變為對普通加密貨幣持有者的大規模財富掠奪。駭客願意投入如此高昂技術成本，明確顯示加密資產背後的龐大利益，已足以驅使專業級網路武器流向金融犯罪領域。

技術架構與攻擊範圍深度解析

Coruna套件技術複雜度在當前iOS攻擊工具中屬於頂尖水準。內部整合23個獨立漏洞，經過精心編排構成5條完整攻擊鏈，能在不同情境下自動選擇最有效入侵路徑。這種模組化設計使其具備極高適應性，即使部分漏洞被修補，整體攻擊架構仍能維持運作。受影響範圍涵蓋iOS 13.0至iOS 17.2.1的所有iPhone與iPad設備，幾乎囊括近五年內無法升級至iOS 17.3以上的數億台蘋果裝置。資安專家警告，許多用戶因設備老舊、儲存空間不足或缺乏警覺，導致裝置長期處於脆弱狀態，成為駭客眼中理想攻擊目標。

水坑攻擊與零點擊入侵的致命組合

Coruna的攻擊手法展現高度自動化與社會工程學結合。駭客採用水坑攻擊（Watering Hole Attack）策略，預先入侵或架設偽造加密貨幣交易所與金融服務網站。這些惡意站點外觀與功能幾可亂真，例如研究人員發現的偽造WEEX交易平台，從介面設計到交易功能都達到以假亂真程度。為增加曝光率，駭客更投入資源進行搜尋引擎優化與付費廣告投放，使陷阱網站出現在搜尋結果前列。當iPhone使用者造訪這些受污染網頁時，背景腳本會在毫秒間完成設備識別與版本檢測，一旦確認裝置落在攻擊範圍內，便自動觸發零點擊（Zero-click）漏洞滲透。整個過程完全不需使用者點擊連結或下載檔案，造訪網頁本身就是觸發攻擊的唯一條件。部分偽造網站甚至主動提示「使用iOS設備可獲得更好體驗」，這種看似貼心的設計實際上是精準鎖定脆弱目標的篩選機制。

PlasmaLoader惡意程式的資產竊盜機制

成功突破iOS防線後，Coruna會立即植入PlasmaLoader惡意程式，展開系統性數位資產盤點。該程式具備多層次數據採集能力，首先會在裝置中進行關鍵字掃描，主動搜尋「backup phrase」、「bank account」、「seed phrase」等敏感詞彙。掃描範圍涵蓋簡訊、備忘錄、通訊軟體對話紀錄等所有文字儲存空間，任何曾出現於裝置的私鑰資訊都難逃搜索網絡。更先進的是其影像辨識功能，會自動掃描使用者相簿中所有截圖與照片，尋找存放錢包助記詞或私鑰的QR Code。這項功能針對許多用戶習慣將助記詞截圖保存的危險行為而設計，即使照片已刪除，只要曾存在於裝置中，仍有極高機率被復原擷取。除此之外，該套件還會針對主流加密貨幣錢包App如MetaMask與Uniswap進行專門攻擊，試圖從這些應用程式的記憶體空間中提取解密後的敏感資訊，從而掌握錢包完整控制權。

高風險族群與實際損失案例

在多宗已確認攻擊案例中，受害者的加密資產在造訪偽造網站後短時間內即遭轉移，整個竊盜流程從入侵到洗錢可在數分鐘內完成。由於Coruna鎖定系統底層權限，只要私鑰曾在手機留下任何數位痕跡，無論文字、圖片或應用程式數據，都難逃這款諜報級工具的採集。研究人員特別強調，這種攻擊的隱蔽性極高，受害者往往在資產被盜後數日甚至數週才發現異常，此時資金早已透過混幣服務與跨鏈轉移等方式徹底消失於區塊鏈的匿名迷霧中。值得注意的是，Coruna在設計上會刻意避開無痕瀏覽模式，因為這種模式通常代表使用者具備較高安全意識，且不留瀏覽紀錄的特性會增加攻擊被發現的風險。這項反偵測機制顯示駭客對受害者行為模式有深入研究，優先選擇安全意識較低的普通用戶下手，最大化攻擊效益。

完整防護策略與用戶自救指南

面對Coruna這類精密威脅，iPhone用戶必須採取多層次防護措施。Google報告明確指出，Coruna對iOS 17.3或更高版本完全無效，這是最直接有效的防禦方式。資安團隊估計全球仍有數百萬台裝置因各種原因未能更新，這些用戶構成最大風險族群。對於無法升級至安全版本的舊款機型，蘋果提供的 「鎖定模式（Lockdown Mode）」 是關鍵反制手段，啟用後會大幅限制裝置功能，但能有效阻擋此類攻擊。研究發現，惡意程式一旦偵測到鎖定模式便會主動停止運行，以避免被資安人員追蹤分析。

資安專家針對加密貨幣持有者提出基本生存守則。首選防護方案是使用硬體錢包（如Ledger或Trezor），讓私鑰永久處於離線狀態，完全不接觸iOS環境，這是理論上最安全的資產保管方式。其次應立即刪除相簿中所有包含助記詞或私鑰的截圖，並清空「最近刪除」資料夾，改採離線實體方式備份，例如手抄在紙張上並存放於保險箱。雖然無痕瀏覽模式能提供基本保護，但專家強調這僅是臨時應對措施，無法抵禦針對性攻擊。在數位資產價值持續攀升的今日，維持軟體更新與高度資安警覺性，已成為每位投資人不可推卸的基本義務。