Coruna

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam três vulnerabilidades de segurança no iOS, que estão sendo exploradas em ataques de ciberespionagem e roubo de criptomoedas, utilizando o kit de exploração Coruna. Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que o Coruna utiliza uma cadeia de exploits que ataca 23 vulnerabilidades do iOS, muitas das quais foram utilizadas em ataques zero-day. As falhas não afetam versões recentes do iOS e são bloqueadas se o usuário estiver em modo de navegação privada ou com o modo de bloqueio ativado. O Coruna permite que atacantes contornem a autenticação de código, escapem de sandbox e executem código remotamente no WebKit, elevando permissões a privilégios de Kernel. O kit foi observado em uso por diversos grupos de ameaças, incluindo um grupo suspeito de estar vinculado ao estado russo e um ator de ameaças da China. A CISA incluiu as vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e ordenou que as agências federais protejam seus dispositivos até 26 de março. Embora a ordem se aplique apenas a agências federais, a CISA recomenda que todas as organizações, incluindo empresas do setor privado, priorizem a correção dessas falhas.

Um novo exploit, denominado Coruna, foi identificado pelo Grupo de Inteligência de Ameaças da Google, visando iPhones. Este kit hacker, que contém 23 exploits, foi desenvolvido a partir de um framework do governo dos Estados Unidos e acabou sendo utilizado por cibercriminosos da China e Rússia. O Coruna é notável por sua complexidade, permitindo ataques em massa a dispositivos iOS, algo inédito até então. A vulnerabilidade abrange iPhones com iOS desde a versão 13.0 até a 17.2.1. A descoberta ocorreu após um hacker chinês utilizar o kit em sites de apostas e criptomoedas, levando à sua análise pela iVerify, que destacou que a documentação do malware foi redigida em inglês nativo. Para mitigar os riscos, usuários são aconselhados a atualizar seus dispositivos ou ativar o Modo Isolamento. O caso levanta preocupações sobre a segurança de dados pessoais e financeiros, especialmente em um contexto onde o uso de spyware por governos é comum, mas sua exposição a cibercriminosos é alarmante.

Um novo conjunto de 23 exploits para iOS, denominado ‘Coruna’, foi identificado em campanhas de espionagem e ataques financeiros. O kit inclui cinco cadeias de exploits sofisticados, que utilizam técnicas não documentadas para versões do iOS de 13.0 a 17.2.1. A primeira atividade relacionada ao Coruna foi observada em fevereiro de 2025, associada a um fornecedor de vigilância. Um exploit específico, CVE-2024-23222, permitiu a execução remota de código e foi corrigido pela Apple em janeiro de 2024. O kit foi utilizado em ataques direcionados a usuários de iPhone que acessavam sites comprometidos, especialmente na Ucrânia, e também em sites falsos de jogos e criptomoedas na China. O Coruna é capaz de identificar a versão do dispositivo e selecionar a cadeia de exploits adequada, parando se o Modo de Bloqueio estiver ativo. Após a exploração, um carregador chamado PlasmaLoader é injetado, visando aplicativos de carteira de criptomoedas. A análise sugere que o Coruna evoluiu de um uso em espionagem para atividades criminosas em larga escala, levantando preocupações sobre a segurança dos usuários comuns de iPhone. A Google recomenda que os usuários atualizem seus dispositivos e ativem o Modo de Bloqueio se a atualização não for possível.