Exploração de vulnerabilidade do Coruna iPhone visa carteiras de criptomoedas, alertam pesquisadores de segurança.
Em Breve
Pesquisadores de segurança cibernética descobriram o kit de exploração Coruna, um sofisticado conjunto de ferramentas que visa iPhones com iOS 13 a 17.2.1 para roubar credenciais de carteiras de criptomoedas por meio de múltiplas vulnerabilidades de dia zero.
Pesquisadores de cibersegurança descobriram um poderoso kit de ferramentas de hacking capaz de burlar o sistema de segurança dos iPhones da Apple e roubar criptomoedas da carteira do usuário. O kit de exploração, chamado Coruna, explora diversas vulnerabilidades no sistema operacional móvel da Apple e já foi utilizado em atividades de espionagem e crimes cibernéticos com motivação financeira.
Pesquisadores de segurança do Google Threat Intelligence Group descobriram que o framework Coruna possui 23 exploits diferentes agrupados em múltiplas cadeias de ataque, permitindo que hackers ataquem dispositivos usando versões antigas do software móvel da Apple. Após a instalação, o malware escaneia os dispositivos com dados sensíveis, como carteiras de criptomoedas e credenciais bancárias.
A descoberta reforça os riscos crescentes para os consumidores de criptomoedas que usam carteiras móveis para armazenar ativos digitais. Com a crescente popularidade das negociações móveis e dos aplicativos de finanças descentralizadas, os cibercriminosos estão começando a visar os smartphones como ponto de acesso a fundos digitais.
Um conjunto de ferramentas sofisticado com múltiplas vias de ataque.
O kit de exploração Coruna é considerado uma das estruturas de ataque ao iPhone mais sofisticadas já relatadas publicamente. Especialistas em segurança indicam que o kit de ferramentas pode atacar dispositivos com versões do sistema operacional da Apple, incluindo iOS 13 até iOS 17.2.1, o que se aplica a iPhones lançados entre 2019 e o final de 2023.
Em vez de ter apenas uma vulnerabilidade, o Coruna combina 23 exploits diferentes em 5 cadeias de ataque completas, permitindo que ele supere vários níveis de proteção de segurança da Apple.
Em muitos casos, o ataque não exige qualquer tipo de interação, pois envolve apenas a visita a um site malicioso. Após o carregamento da página comprometida em um dispositivo vulnerável, o código de exploração oculto é executado automaticamente, permitindo que o invasor assuma o controle do telefone e instale o malware.
O primeiro passo é analisar as impressões digitais do dispositivo para determinar o modelo do iPhone e o tipo de sistema operacional em uso. Em seguida, o programa escolhe a cadeia de exploração adequada para comprometer as medidas de segurança e instalar software malicioso.
Carteiras de criptomoedas se tornam um alvo principal
Uma vez que o dispositivo é comprometido, o malware visa roubar dados valiosos, especialmente credenciais de criptomoedas. De acordo com os investigadores, o programa analisa mensagens, notas e dados de aplicativos para encontrar palavras-chave com base em frases de recuperação de criptomoedas.
O malware busca especificamente pelas palavras "frase mnemônica", "frase de recuperação" e "conta bancária", que geralmente estão associadas a programas de recuperação de carteiras digitais. Quando essas frases são encontradas, os atacantes podem usá-las para recuperar a carteira da vítima em outro dispositivo e obter acesso total ao dinheiro.
Segundo pesquisadores, o kit de exploração tem como alvo diversos aplicativos populares de carteiras descentralizadas, como plataformas que conectam usuários a protocolos de finanças descentralizadas e plataformas de negociação.
Os relatórios indicam que pelo menos 18 aplicativos de criptomoedas suportam esse tipo de extração de dados quando instalados em dispositivos comprometidos. Após coletar dados confidenciais, o malware os transmite para servidores remotos de comando e controle, operados pelos atacantes, para que possam esvaziar as carteiras das vítimas em pouco tempo.
De instrumento de espionagem a arma criminosa
A forma como o kit de exploração Coruna se espalhou para diversos agentes maliciosos é um dos aspectos mais alarmantes relacionados a ele. Segundo investigadores, a estrutura foi identificada pela primeira vez em 2025 como parte de atividades de vigilância direcionada associadas a um cliente de um spyware comercial.
Além disso, no mesmo ano, a mesma infraestrutura de exploração foi usada nos chamados ataques de "watering hole" contra sites ucranianos, em um ataque orquestrado por um suposto grupo de espionagem russo.
Em 2025, o conjunto de ferramentas ressurgiu em operações com foco financeiro realizadas por organizações cibercriminosas com sites falsos de criptomoedas e jogos de azar.
Pesquisadores de segurança presumem que os hackers instalaram o kit de exploração em centenas de sites maliciosos, infectando dezenas de milhares de dispositivos e roubando informações de usuários sobre carteiras de criptomoedas. O desenvolvimento desse kit de ferramentas demonstra como as melhores tecnologias de ciberespionagem podem finalmente chegar ao restante do ecossistema criminoso.
Um mercado crescente para exploits de dia zero
Analistas de segurança observam que Coruña é indicativo de uma tendência ainda maior no setor de cibersegurança: o desenvolvimento de um mercado clandestino de equipamentos avançados de hacking.
Estruturas de exploração mais sofisticadas, criadas por governos para espionar seus cidadãos ou coletar dados de inteligência, ocasionalmente chegam às mãos de vendedores individuais ou mercados negros, acabando por cair nas mãos de cibercriminosos.
Recentemente, foi noticiado que o Coruna pode ser comparado a operações anteriores de vigilância de alto perfil contra o iPhone, como a Operação Triangulação, que explorou vulnerabilidades ainda não divulgadas para comprometer dispositivos da Apple.
O fato de essas ferramentas terem migrado da esfera da espionagem para o cibercrime financeiro é preocupante, considerando que as explorações avançadas podem alcançar os mercados clandestinos muito rapidamente.
Dispositivos da Apple não estão imunes a ataques em larga escala.
Ao longo dos anos, o ecossistema móvel da Apple tem sido visto como mais seguro em comparação com a maioria dos outros sistemas concorrentes, devido a um ambiente de aplicativos altamente restritivo e a um sistema fechado de hardware e software.
No entanto, casos como o de Coruña demonstram que até os sistemas mais seguros podem ser violados caso os atacantes consigam explorar mais de uma vulnerabilidade de dia zero.
O design do kit de exploração é especialmente preocupante, segundo analistas de segurança, pois possibilitará a exploração em massa, e não a vigilância direcionada. Um único site malicioso infectaria qualquer máquina vulnerável que o visitasse.
Segundo os especialistas, isso é particularmente perigoso para quem usa criptomoedas e utiliza regularmente aplicativos descentralizados, páginas de reivindicação de tokens ou provedores de serviços de negociação de terceiros. como golpes com criptomoedas continue a crescer.
Medidas de proteção e a resposta da Apple
Felizmente, pesquisadores indicam que, nas versões mais recentes de seu sistema operacional, a Apple já corrigiu as vulnerabilidades exploradas pelo Coruna.
Não há suspeitas de que o kit de exploração possa afetar usuários que utilizam as versões mais recentes do iOS. As equipes de segurança recomendaram que os usuários de iPhone atualizem seus aparelhos para a versão mais recente do iOS imediatamente. As vulnerabilidades que permitiram ao Coruna acessar o sistema inicialmente são eliminadas com a atualização.
Para proteger seus dispositivos, os especialistas também sugerem ativar o Modo de Bloqueio, uma opção disponível em dispositivos Apple que permite aos usuários evitar intrusões de spyware avançado apenas caso não consigam atualizar seus aparelhos. O Coruna, segundo os pesquisadores, suspende automaticamente sua execução se o Modo de Bloqueio for detectado no dispositivo.
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Alisa, jornalista dedicada do MPost, é especializada em criptomoedas, IA, investimentos e no vasto campo de Web3. Com um olhar atento às tendências e tecnologias emergentes, ela oferece uma cobertura abrangente para informar e envolver os leitores no cenário em constante evolução das finanças digitais.
Mais artigos
Alisa, jornalista dedicada do MPost, é especializada em criptomoedas, IA, investimentos e no vasto campo de Web3. Com um olhar atento às tendências e tecnologias emergentes, ela oferece uma cobertura abrangente para informar e envolver os leitores no cenário em constante evolução das finanças digitais.
