تطور من أداة مراقبة على مستوى الدولة إلى “آلة حصاد الأصول”
وفقًا لتقرير عميق أصدرته مجموعة معلومات التهديدات من جوجل (GTIG)، فإن مجموعة الثغرات لنظام iOS المعروفة باسم Coruna (المعروفة أيضًا باسم CryptoWaters) تشكل تهديدًا خطيرًا لمستخدمي iPhone حول العالم. مسار تطور هذه الأداة درامي للغاية، عندما تم اكتشافها لأول مرة في فبراير 2025، كانت تقدمها شركات مراقبة خاصة للعملاء الحكوميين، وتستهدف بشكل دقيق الشخصيات السياسية والمعارضين. ثم في صيف 2025، سيطر عليها مجموعة قراصنة مرتبطة بالحكومة الروسية UNC6353، واستخدمتها في أنشطة تجسس جيوسياسية ضد مواطني أوكرانيا.

المصدر: جوجل ｜ خط زمني لاكتشاف Coruna

مع انتشار التقنية، أصبحت هذه الأداة الاحترافية التي كلفت ملايين الدولارات في التطوير، متداولة رسميًا في سوق الجرائم الإلكترونية. في نهاية عام 2025 وبداية 2026، حصلت مجموعة قراصنة صينية تُعرف باسم UNC6691 على التقنية، ووجهت هجماتها نحو سرقة الأصول الرقمية. هذا يمثل تحولًا من أدوات تجسس عالية المستوى إلى سلع تجارية، حيث تحولت من جمع المعلومات المستهدفة إلى نهب ثروات واسعة النطاق لمستخدمي العملات المشفرة العاديين. وأشار الباحثون إلى أن رغبة القراصنة في استثمار تكاليف تقنية عالية تظهر أن الأرباح الكبيرة من الأصول المشفرة تدفعهم نحو تحويل التقنية إلى جرائم مالية محترفة.

23 ثغرة تؤدي إلى تفاعل متسلسل: التسلل الصامت خلف “البرك”
تمتلك مجموعة Coruna مستوى عاليًا من الأتمتة والسرية، حيث تتضمن 23 ثغرة مستقلة وتكوّن 5 سلاسل هجوم كاملة. تغطي نطاقًا واسعًا، يشمل جميع أجهزة iPhone و iPad التي تعمل بنظام iOS 13.0 حتى iOS 17.2.1. يستخدم القراصنة تقنية “الهجوم على البرك المائية” (Watering Hole Attack)، من خلال اختراق أو إنشاء مواقع مزيفة لتبادل العملات المشفرة والمواقع المالية لجذب الضحايا. هذه المواقع، مثل منصة WEEX المزيفة، تبدو وتعمل تقريبًا كالمواقع الرسمية، وتستخدم تحسين محركات البحث والإعلانات المدفوعة لزيادة الظهور.

المصدر: جوجل ｜ منصة WEEX المزيفة

عندما يزور مستخدمو iPhone هذه المواقع الملوثة، يتم تنفيذ سكريبت خلفي على الفور للتعرف على الجهاز. يتحقق النظام بصمت من إصدار iOS، وإذا كان ضمن نطاق الهجوم، يتم تفعيل ثغرة Zero-click دون أي تفاعل من المستخدم أو نقر على روابط. بعض المواقع المزيفة حتى تروج لنفسها من خلال مطالبة المستخدمين باستخدام أجهزة iOS لتجربة أفضل، بهدف استهداف الأجهزة غير المحدثة والضعيفة بدقة.

حتى لقطات الشاشة في ألبوم الصور لا تنجو
بمجرد أن ينجح Coruna في الحصول على صلاحيات الجهاز، يبدأ البرنامج الخبيث PlasmaLoader في العمل، ويقوم بجرد الأصول الرقمية للمستخدم. يتمتع هذا البرنامج بقدرة مسح قوية، حيث يبحث عن كلمات مفتاحية محددة مثل “عبارة النسخ الاحتياطي” أو “حساب البنك” أو “عبارة البذرة”، ويستخرج البيانات الحساسة من الرسائل القصيرة والملاحظات. كما يمتلك تقنية التعرف على الصور، حيث يقوم بمسح لقطات الشاشة في ألبوم الصور للبحث عن رموز QR التي تحتوي على كلمات المرور أو المفاتيح الخاصة بالمحفظة.
بالإضافة إلى جمع البيانات الثابتة، يستهدف Coruna تطبيقات المحافظ المشفرة الشائعة مثل MetaMask و Uniswap، محاولًا استخراج المعلومات الحساسة والسيطرة الكاملة على المحافظ. في العديد من الحالات المعروفة، تم تحويل أموال الضحايا خلال وقت قصير بعد زيارة المواقع المزيفة. نظرًا لأن الهجوم يستهدف صلاحيات النظام الأساسية، فإن أي أثر رقمي للمفاتيح الخاصة على الهاتف لا يمكن إخفاؤه من قبل هذه الأداة التجسسية.

المصدر: جوجل ｜ قائمة بجميع التطبيقات المحتملة التي يمكن أن تتعرض للهجوم بواسطة البرامج الخبيثة

قواعد الدفاع ودليل البقاء؟ التحديثات النظامية هي المفتاح للأمان
لمواجهة التهديدات عالية الدقة، يجب على مستخدمي iPhone اتخاذ تدابير حماية واضحة. أشار تقرير جوجل إلى أن Coruna غير فعال على نظام iOS 17.3 أو أعلى. على الرغم من أن النظام قد تم تحديثه إلى إصدار أعلى، إلا أن بعض المستخدمين لا يزالون يستخدمون أجهزة قديمة أو يعانون من نقص في المساحة، مما يعرضهم للخطر. بالنسبة للأجهزة القديمة التي لا يمكن تحديثها إلى إصدار آمن، فإن تفعيل وضع القفل (Lockdown Mode) الذي توفره شركة أبل هو وسيلة فعالة للرد، حيث يتوقف البرنامج الخبيث عن العمل عند اكتشاف هذا الوضع لتجنب التتبع.
ينصح خبراء الأمن السيبراني مالكي العملات المشفرة باتباع قواعد البقاء الأساسية. أولاً، يُنصح باستخدام محافظ أجهزة مثل Ledger أو Trezor، للحفاظ على المفاتيح الخاصة في وضع غير متصل وعدم تعرضها لنظام iOS. ثانيًا، يجب حذف جميع لقطات الشاشة التي تحتوي على كلمات المرور أو المفاتيح الخاصة من الألبوم، والاعتماد على نسخ احتياطية مادية غير متصلة.
على الرغم من أن Coruna يتجنب وضع التصفح الخاص لتقليل احتمالية الكشف، إلا أن ذلك يظل إجراءً مؤقتًا. مع ارتفاع قيمة الأصول الرقمية يومًا بعد يوم، فإن الحفاظ على تحديث البرمجيات واليقظة الأمنية أصبحا واجبًا أساسيًا لكل مستثمر.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى إخلاء المسؤولية.