Google cảnh báo bộ công cụ Coruna tấn công iPhone, nhắm ví tiền mã hóa và seed phrase

Theo CoinDesk đưa tin ngày 4 tháng 3 (giờ địa phương), nhóm nghiên cứu bảo mật của Google đã phát hiện một bộ công cụ khai thác lỗ hổng mới mang tên “Coruna” nhắm vào người dùng iPhone(iPhone). Bộ *coruna* này được đánh giá đặc biệt nguy hiểm với người dùng *tiền mã hóa*, do có khả năng truy cập sâu vào dữ liệu ứng dụng, bao gồm cả ví *crypto* và *cụm từ khôi phục (seed phrase)*.

Theo Google, *coruna* sử dụng tổng cộng 23 lỗ hổng, được xâu chuỗi thành 5 “exploit chain” khác nhau, nhằm tấn công các phiên bản iOS từ 13 đến 17.2.1. Điều này đồng nghĩa nhiều mẫu iPhone đời cũ lẫn tương đối mới đều có thể là mục tiêu, nếu người dùng chưa cập nhật bản vá bảo mật mới nhất.

Các nhà phân tích bảo mật cho biết nhóm tấn công phân phối *coruna* thông qua website bị hack hoặc các nền tảng *crypto* giả mạo. Khi người dùng truy cập, mã độc sẽ l silently tải xuống, chiếm quyền trên trình duyệt rồi dần mở rộng sang các tiến trình khác trong hệ thống. Tại giai đoạn cuối, mã độc sẽ quét nội dung tin nhắn, email và dữ liệu ứng dụng để tìm thông tin liên quan đến ví như MetaMask, các ví đa chuỗi, cũng như dữ liệu ngân hàng và tài chính nhạy cảm.

Một chuyên gia được CoinDesk trích dẫn bình luận, các đoạn mã phân tích cho thấy *coruna* được thiết kế để truy xuất mọi dạng dữ liệu có thể dùng chiếm quyền kiểm soát tài sản *tiền mã hóa* — từ mật khẩu, file backup đến *cụm từ khôi phục (seed phrase)*. Nếu *seed phrase* bị lộ, kẻ tấn công có thể khôi phục ví trên thiết bị khác và rút toàn bộ tài sản mà không thể đảo ngược. Nhiều ví không yêu cầu xác minh bổ sung khi nhập đúng cụm từ khôi phục, khiến thiệt hại tiềm tàng gần như là “mất trắng”.

Bình luận: Đây là ví dụ điển hình cho xu hướng các công cụ tấn công vốn được phát triển cho mục đích gián điệp, theo dõi có chủ đích, dần “rơi” vào tay các nhóm tội phạm mạng thiên về trục lợi tài chính. Khi đó, mức độ tinh vi của chiến dịch tấn công tài chính trên *crypto* bị đẩy lên tương đương các chiến dịch APT trong thế giới an ninh mạng truyền thống.

Giới chuyên môn khuyến nghị người dùng *tiền mã hóa* đang sử dụng iPhone lưu ý một số điểm:

- Cập nhật iOS lên bản mới nhất để vá các lỗ hổng mà *coruna* khai thác.

- Tránh truy cập website lạ, quảng cáo dẫn tới “sàn”, “ví” hay “airdrop” chưa được kiểm chứng.

- Không lưu *cụm từ khôi phục (seed phrase)*, private key hoặc file backup ví trong ghi chú, email, app chat, hay iCloud. Nên ghi giấy và lưu trữ ngoại tuyến.

- Ưu tiên ví cứng (hardware wallet) cho các khoản *Bitcoin(BTC)*, *Ethereum(ETH)*, *Solana(SOL)*… trung và dài hạn, giảm phụ thuộc vào ví trên điện thoại.

- Thường xuyên rà soát thiết bị, gỡ cài đặt app *crypto* không dùng tới, hạn chế cài ứng dụng từ nguồn ngoài App Store.

Trong bối cảnh giá trị tài sản trên các ví *tiền mã hóa* ngày càng lớn, các chiến dịch như *coruna* cho thấy rủi ro bảo mật không chỉ nằm ở smart contract hay sàn giao dịch, mà còn ở chính thiết bị cá nhân của người dùng. Việc bảo vệ *seed phrase* và thông tin đăng nhập ví *crypto* trở thành lớp phòng thủ tối thượng, cần được coi trọng không kém bất kỳ biện pháp đầu tư hay quản lý rủi ro nào khác.