กูเกิลแฉคิทโจมตี iOS ‘โครูนา’ ล่าซีดวลีกระเป๋าคริปโต จี้ผู้ใช้ไอโฟนอัปเดต iOS ด่วน

กลุ่มภัยคุกคามของกูเกิล หรือ ‘กูเกิล Threat Intelligence Group(GTIG)’ ตรวจพบ ‘คิทโจมตี iOS’ ตัวใหม่ที่มุ่งเล่นงานผู้ใช้ไอโฟน(‘iPhone’) โดยตรง เป้าหมายหลักคือการขโมย ‘ซีดวลี(seed phrase·วลีสำหรับกู้คืนกระเป๋าเงินคริปโต)’ เพื่อยึดกระเป๋าเงินดิจิทัลไปครอบครอง ทำให้ประเด็น ‘ความปลอดภัยของซีดวลี’ และ ‘การอัปเดต iOS’ กลายเป็นเรื่องที่ผู้ถือครองคริปโตต้องให้ความสำคัญมากขึ้น

เมื่อวันที่ 5 (เวลาท้องถิ่น) GTIG เผยแพร่รายงานระบุว่า คิทตัวนี้ถูกผู้พัฒนาเรียกว่า ‘โครูนา(Coruna)’ โดยมุ่งเป้าไปที่ไอโฟนเวอร์ชันเก่า ตั้งแต่ iOS 13.0 ไปจนถึง 17.2.1 ตามข้อมูลของ GTIG ‘โครูนา’ ประกอบด้วย ‘เชนโจมตี iOS แบบสมบูรณ์ 5 ชุด’ รวมช่องโหว่ทั้งหมด 23 รายการ และยังมีช่องโหว่ที่ไม่เคยถูกเปิดเผยต่อสาธารณะมาก่อน ซึ่งถูกคาดว่าอาจเป็น ‘ช่องโหว่ซีโร่เดย์’ ปะปนอยู่ด้วย

GTIG ระบุว่าเริ่มพบร่องรอยของ ‘โครูนา’ ครั้งแรกเมื่อเดือนกุมภาพันธ์ 2025 จากนั้นจึงติดตามพบสัญญาณว่าเครื่องมือนี้ถูกใช้โดยกลุ่มข่าวกรองที่ถูกสงสัยว่ามาจากรัสเซีย เพื่อโจมตีผู้ใช้ในยูเครน ต่อมา GTIG ตรวจสอบพบร่องรอยของคิทเดียวกันบน ‘เว็บปลอมสัญชาติจีนที่เกี่ยวกับคริปโต’ ซึ่งถูกออกแบบมาเพื่อขโมยสินทรัพย์ดิจิทัลของผู้ใช้

กูเกิลย้ำว่า ‘โครูนา’ ไม่สามารถทำงานบน iOS เวอร์ชันล่าสุดได้ จึงแนะนำให้ผู้ใช้ไอโฟนอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันใหม่อยู่เสมอ หากไม่สามารถอัปเดตเครื่องได้ แนะนำให้เปิดใช้ฟีเจอร์ ‘โหมดล็อกดาวน์(Lockdown Mode)’ ของแอปเปิล ซึ่งออกแบบมาสำหรับป้องกันการโจมตีแบบเจาะจงเป้าหมายขั้นสูง

ในรายงาน GTIG อธิบายว่าในเดือนกุมภาพันธ์ 2025 มีเคสที่ลูกค้าของบริษัทด้าน ‘การเฝ้าระวัง (surveillance)’ ใช้จาวาสคริปต์ทำ ‘การเก็บลายนิ้วมืออุปกรณ์ (fingerprinting)’ เพื่อระบุสภาพแวดล้อมของเครื่องผู้ใช้ ก่อนจะส่งโค้ดโจมตีที่เหมาะสมเข้าไปยังอุปกรณ์นั้น การเก็บลายนิ้วมือดังกล่าวจะดึงข้อมูลอย่างรุ่นอุปกรณ์ เบราว์เซอร์ และเวอร์ชันระบบปฏิบัติการ เพื่อนำไปใช้เพิ่มโอกาสสำเร็จของการโจมตี

GTIG ระบุเพิ่มเติมว่าในช่วงครึ่งหลังของปี 2025 เฟรมเวิร์กจาวาสคริปต์ตัวเดียวกันถูกซ่อนอยู่ในเว็บไซต์ยูเครนหลายแห่งที่ถูกแฮ็ก และโค้ดดังกล่าวถูกตั้งค่าให้ส่งต่อเฉพาะไปยัง ‘ผู้ใช้ไอโฟนที่อยู่ในพื้นที่ทางภูมิศาสตร์ (geolocation) เฉพาะเจาะจง’ เท่านั้น ถือเป็นยุทธวิธีที่เน้น ‘จำกัดเป้าหมาย’ เพื่อลดโอกาสถูกตรวจจับ มากกว่าการแพร่กระจายแบบสุ่มไปยังผู้ใช้จำนวนมาก

ต่อมาในเดือนธันวาคม 2025 GTIG ยังพบว่าเฟรมเวิร์กเดียวกันนั้นโผล่ขึ้นมาใน “ชุดเว็บไซต์ปลอมภาษาจีนจำนวนมาก” โดยเว็บไซต์เหล่านี้ส่วนใหญ่มีธีมด้านการเงิน และบางส่วนถูกสร้างขึ้นมาเลียนแบบแพลตฟอร์มซื้อขายคริปโตชื่อดังอย่าง ‘วีอีเอ็กซ์(WEEX)’ เพื่อหลอกให้ผู้ใช้เข้าใจผิด

เมื่อผู้ใช้เข้าถึงเว็บเหล่านี้ผ่านอุปกรณ์ iOS เฟรมเวิร์กจะโหลด ‘คิทโจมตีโครูนา’ ลงในเครื่องและเริ่มค้นหาข้อมูลทางการเงิน GTIG ระบุว่าโค้ดโจมตีจะสแกนข้อความที่มี ‘ซีดวลี’ อยู่ภายใน รวมถึงค้นหาคีย์เวิร์ดอย่าง ‘backup phrase’ และ ‘bank account’ เพื่อดึงข้อมูลละเอียดอ่อนออกมาโดยไม่ให้เหยื่อรู้ตัว

นอกจากนี้ ‘โครูนา’ ยังถูกออกแบบให้ค้นหาแอปคริปโตยอดนิยมอย่าง ยูนิสว็อป(Uniswap) และ เมตามาสก์(MetaMask) ภายในอุปกรณ์ หากพบก็จะพยายามดึงข้อมูลเกี่ยวกับสินทรัพย์ดิจิทัลหรือข้อมูลสำคัญอื่นๆ ออกไป

ต้นตอของ ‘โครูนา’ กลายเป็นประเด็นถกเถียงในวงการความปลอดภัยไซเบอร์ GTIG ไม่ได้ระบุชัดเจนว่าเครื่องมือนี้ถูกพัฒนาหรือจัดหาโดยลูกค้ารายใดของบริษัทด้านการเฝ้าระวัง แต่บริษัทด้านความปลอดภัยมือถือไอเวอริไฟ(iVerify) ให้สัมภาษณ์กับสำนักข่าว WIRED ตั้งข้อสงสัยว่า “อาจเป็นเครื่องมือที่รัฐบาลสหรัฐพัฒนาหรือซื้อมาใช้”

ร็อกกี โคล(Rocky Cole) ผู้ร่วมก่อตั้งไอเวอริไฟ ระบุว่า เครื่องมือนี้ “ซับซ้อนมาก และน่าจะต้องใช้เงินพัฒนาหลายล้านดอลลาร์ (คิดเป็นเงินไทยระดับหลายร้อยล้านบาท)” พร้อมชี้ว่าโค้ดมีลักษณะคล้ายกับโมดูลอื่นๆ ที่เคยถูกเผยแพร่ว่าเชื่อมโยงกับรัฐบาลสหรัฐ เขาแสดง ‘ความคิดเห็น’ ว่า จากรูปแบบโค้ด “มีเหตุผลเพียงพอจะมองว่าเป็นเครื่องมือของรัฐบาลสหรัฐที่หลุดออกนอกการควบคุม และกำลังถูกใช้ทั้งโดยฝ่ายตรงข้ามและกลุ่มอาชญากรรมไซเบอร์” ซึ่งอาจกลายเป็นตัวอย่างแรกของกรณีเช่นนี้

อีกด้านหนึ่ง ฝ่ายวิจัยของแคสเปอร์สกี(Kaspersky) แสดงท่าทีระมัดระวังมากกว่า โดยนักวิจัยอาวุโสของบริษัทให้ความเห็นกับสำนักข่าว The Register ว่า จากรายงานที่เผยแพร่สู่สาธารณะในตอนนี้ “ยังไม่พบหลักฐาน ‘การใช้โค้ดซ้ำจริงๆ’ มากพอที่จะสรุปได้ว่า ‘โครูนา’ ถูกเขียนโดยผู้พัฒนากลุ่มเดียวกับกรณีที่เคยถูกเชื่อมโยงไว้ก่อนหน้า” สะท้อนว่าการชี้ตัวผู้อยู่เบื้องหลังยังเป็นเรื่องที่ต้องใช้หลักฐานเชิงเทคนิคเพิ่มเติม

กรณี ‘คิทโจมตี iOS’ ที่ผูกกับ ‘การขโมยซีดวลี’ ครั้งนี้ แสดงให้เห็นชัดว่า การละเลย ‘อัปเดตความปลอดภัยของสมาร์ตโฟน’ สามารถเชื่อมโยงโดยตรงไปถึงความเสี่ยงต่อสินทรัพย์ดิจิทัลของผู้ใช้ได้อย่างไร วงการคริปโตเริ่มเห็นพ้องว่า นอกจาก ‘ความปลอดภัยของเว็บเทรดและแอปกระเป๋าเงิน’ แล้ว การรักษาให้ระบบปฏิบัติการของผู้ใช้เป็นเวอร์ชันล่าสุด และการใช้ฟีเจอร์ป้องกันเชิงรุกอย่าง ‘โหมดล็อกดาวน์’ กำลังกลายเป็น ‘ข้อกำหนดพื้นฐาน’ ด้านความปลอดภัยสำหรับผู้ถือครองคริปโตในยุคที่การโจมตีซับซ้อนขึ้นเรื่อยๆ