Mã độc Coruna - 'Siêu vũ khí' tình báo Mỹ nay thành công cụ cướp tiền điện tử
Mã độc Coruna - 'Siêu vũ khí' tình báo Mỹ cướp tiền điện tử

Mã độc Coruna - 'Siêu vũ khí' tình báo Mỹ nay thành công cụ cướp tiền điện tử

Theo báo cáo khẩn cấp từ đội ngũ tình báo mối đe dọa của Google và công ty bảo mật iVerify, một công cụ độc hại mang tên Coruna đang lây lan trên diện rộng, nhắm mục tiêu trực tiếp vào người dùng iPhone. Điều đáng lo ngại nhất là mã độc này từng phục vụ cho các chiến dịch tình báo cấp nhà nước, nhưng nay đã lọt vào tay tội phạm mạng, được tái sử dụng để cướp ví tiền điện tử và đánh cắp dữ liệu cá nhân một cách tinh vi.

Nguồn gốc đáng sợ của 'bóng ma' Coruna chuyên hack iPhone

Với xuất thân không phải từ các tin tặc nghiệp dư, Coruna được cấu thành từ 5 chuỗi khai thác hoàn chỉnh và tận dụng tới 23 lỗ hổng zero-day trên hệ điều hành iOS. Các chuyên gia bảo mật, trong đó có cựu nhân viên Cơ quan An ninh Quốc gia Mỹ (NSA) Rocky Cole, nhận định Coruna mang đậm dấu ấn kỹ thuật của các chương trình gián điệp thuộc chính phủ Mỹ.

Siêu vũ khí mạng này có thể đã bị đánh cắp hoặc rò rỉ ra chợ đen công nghệ, và hiện nay được các nhóm tội phạm mạng 'độ' lại để phục vụ mục đích trục lợi tài chính, thay vì các hoạt động gián điệp chính trị như trước đây.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

iPhone dễ bị tấn công bởi công cụ Coruna

Khác với các hình thức lừa đảo thông thường yêu cầu nạn nhân tải ứng dụng độc hại hoặc điền mật khẩu, Coruna sử dụng phương thức lây nhiễm vô hình và cực kỳ nguy hiểm. Mã độc này khai thác lỗ hổng sâu bên trong lõi trình duyệt WebKit của Apple.

Nếu người dùng đang sử dụng các phiên bản iOS từ 13 đến 17.2.1, chỉ cần vô tình truy cập vào một trang web đã bị cấy mã độc, Coruna sẽ tự động xuyên thủng lớp phòng thủ, giành quyền kiểm soát cao nhất (root) và lặng lẽ định cư trong thiết bị mà không phát ra bất kỳ cảnh báo nào.

Chiến dịch lây nhiễm quy mô lớn và mối đe dọa cụ thể

Theo phân tích chi tiết từ iVerify, một chiến dịch lừa đảo do nhóm tội phạm nói tiếng Trung điều hành đã sử dụng Coruna để lây nhiễm thành công cho khoảng 42.000 thiết bị iPhone. Khi đã xâm nhập vào hệ thống, bộ mã độc này triển khai hàng loạt công cụ thu thập thông tin nguy hiểm, bao gồm:

  • Tự động dò tìm các ví tiền điện tử (Crypto) và đánh cắp thông tin đăng nhập từ các sàn giao dịch lớn.
  • Lục lọi và sao chép toàn bộ ảnh cá nhân, email, cũng như các tài liệu nhạy cảm khác để phục vụ cho các chiêu trò tống tiền (blackmail) trong tương lai.

Nguy cơ kéo dài và biện pháp phòng ngừa khẩn cấp

Mặc dù Apple đã vá các lỗ hổng đã biết của Coruna trong các bản cập nhật iOS mới nhất, nhưng các kỹ thuật thoát khỏi hộp cát (sandbox escape) cực kỳ tinh vi của nó hiện đã nằm trong tay nhiều nhóm tin tặc khác nhau. Sự ra đời của thị trường 'chợ đen' chuyên mua bán các siêu vũ khí mạng cũ đang đặt người dùng di động vào vòng nguy hiểm hơn bao giờ hết, với nguy cơ bùng phát các đợt tấn công mới.

Để tự bảo vệ tài sản và thông tin cá nhân, các chuyên gia bảo mật khuyến cáo người dùng iPhone cần thực hiện ngay các biện pháp sau:

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình
  1. Cập nhật lên phiên bản iOS mới nhất ngay lập tức để vá các lỗ hổng đã biết.
  2. Áp dụng các biện pháp xác thực đa yếu tố bằng phần cứng, chẳng hạn như sử dụng khóa bảo mật YubiKey, đối với các tài khoản tiền số quan trọng.
  3. Thận trọng khi truy cập vào các trang web không rõ nguồn gốc, đặc biệt là từ các liên kết đáng ngờ.

Việc nâng cao nhận thức và hành động kịp thời là chìa khóa để giảm thiểu rủi ro từ các mối đe dọa mạng ngày càng tinh vi như Coruna.