Coruna iPhone Exploit Alvo de Carteiras de Criptomoedas, Alertam Especialistas em Segurança

Resumido

Pesquisadores de cibersegurança descobriram o kit de exploração Coruna, uma ferramenta sofisticada que visa iPhones com iOS 13–17.2.1 para roubar credenciais de carteiras de criptomoedas através de múltiplas vulnerabilidades zero-day.

Pesquisadores de cibersegurança descobriram uma poderosa ferramenta de hacking, capaz de contornar o sistema de segurança dos iPhones da Apple e roubar criptomoedas da carteira do usuário. O kit de exploração chama-se Coruna e explora várias vulnerabilidades no sistema operacional móvel da Apple, já sendo utilizado em atividades de espionagem e crimes cibernéticos com fins lucrativos.

Pesquisadores do Google Threat Intelligence Group descobriram que a estrutura Coruna possui 23 exploits diferentes agrupados em múltiplas cadeias de ataque, permitindo que hackers ataquem dispositivos com versões antigas do software móvel da Apple. Após a instalação, o malware escaneia dispositivos em busca de dados sensíveis, como credenciais de carteiras de criptomoedas e bancos.

Essa descoberta reforça os riscos crescentes para consumidores de criptomoedas que usam carteiras móveis para armazenar ativos digitais. Com o aumento da popularidade de negociações móveis e aplicativos de finanças descentralizadas, os atacantes estão começando a direcionar seus esforços aos smartphones como ponto de acesso aos fundos digitais.

Uma Ferramenta Sofisticada com Múltiplos Caminhos de Ataque

O kit de exploração Coruna é considerado uma das estruturas de ataque ao iPhone mais sofisticadas já divulgadas publicamente. Especialistas indicam que a ferramenta pode atacar dispositivos com versões do sistema operacional da Apple, incluindo iOS 13 até iOS 17.2.1, aplicável aos iPhones lançados entre 2019 e o final de 2023.

Em vez de depender de uma única vulnerabilidade, o Coruna combina 23 exploits diferentes em 5 cadeias de ataque completas, permitindo superar várias camadas de proteção de segurança da Apple.

O ataque muitas vezes não requer interação alguma, bastando apenas visitar um site malicioso. Após o carregamento da página comprometida em um dispositivo vulnerável, o código de exploração oculto é executado automaticamente, permitindo que o atacante assuma o controle do telefone e instale malware.

O primeiro passo é identificar o modelo do dispositivo e o tipo de sistema operacional em uso. Em seguida, escolhe-se a cadeia de exploração adequada para comprometer as medidas de segurança e instalar o software malicioso.

Carteiras de Criptomoedas Tornam-se Alvo Principal

Após comprometer o dispositivo, o malware busca roubar dados valiosos, especialmente credenciais de criptomoedas. Segundo investigadores, o malware escaneia mensagens, notas e dados de aplicativos em busca de palavras-chave relacionadas a frases de recuperação de carteiras.

Especificamente, o malware procura por termos como frase mnemônica, frase de backup e conta bancária, geralmente associados a programas de recuperação de carteiras. Quando essas frases são encontradas, os atacantes podem usá-las para recuperar a carteira do vítima em outro dispositivo e ter acesso total aos fundos.

Pesquisadores afirmam que o kit de exploração direciona-se a diversos aplicativos populares de carteiras descentralizadas, plataformas que conectam usuários a protocolos de finanças descentralizadas e plataformas de negociação.

Relatórios indicam que pelo menos 18 aplicativos de criptomoedas suportam esse tipo de extração de dados quando instalados em dispositivos comprometidos. Após coletar as informações sensíveis, o malware as transmite para servidores remotos controlados pelos atacantes, que podem esvaziar as carteiras rapidamente.

De Ferramenta de Espionagem a Arma Criminal

Um dos aspectos mais alarmantes do Coruna é como o kit de exploração se espalhou entre diferentes atores de ameaça. Segundo investigadores, a estrutura foi identificada inicialmente em 2025 como parte de atividades de vigilância direcionada relacionadas a um cliente de spyware comercial.

No mesmo ano, a mesma infraestrutura de exploração foi usada em ataques de watering hole contra sites ucranianos, em uma operação atribuída a um suposto grupo de espionagem russo.

Em 2025, o kit reapareceu em operações com foco financeiro por organizações criminosas, envolvendo sites falsos de criptomoedas e jogos de azar.

Pesquisadores acreditam que hackers instalaram o kit em centenas de sites falsos, infectando dezenas de milhares de dispositivos e roubando informações de usuários sobre suas carteiras de criptomoedas. O desenvolvimento dessa ferramenta mostra como as melhores tecnologias de ciberespionagem podem acabar chegando ao restante do ecossistema criminoso.

Um Mercado Crescente de Exploits Zero-Day

Analistas de segurança observam que o Coruna reflete uma tendência maior no setor de cibersegurança: a formação de um mercado subterrâneo de ferramentas avançadas de hacking.

Frameworks de exploração mais sofisticados, muitas vezes desenvolvidos por governos para espionagem ou coleta de inteligência, ocasionalmente caem nas mãos de vendedores independentes ou mercados negros, chegando aos criminosos.

Recentemente, foi reportado que o Coruna pode ser comparado a operações de vigilância de alto perfil anteriores, como a Operação Triangulação, que explorou vulnerabilidades ainda não divulgadas para comprometer dispositivos Apple.

A transferência dessas ferramentas do campo da espionagem para o crime financeiro é preocupante, especialmente porque esses exploits avançados podem alcançar rapidamente o mercado underground.

Dispositivos Apple Não Estão Imunes a Ataques em Grande Escala

Ao longo dos anos, o ecossistema móvel da Apple foi considerado mais seguro que muitos concorrentes, devido a um ambiente de aplicativos altamente restritivo e a um sistema fechado de hardware e software.

No entanto, casos como o Coruna demonstram que até os sistemas mais seguros podem ser vulneráveis se os atacantes conseguirem explorar mais de uma vulnerabilidade zero-day.

A estrutura do kit de exploração é especialmente preocupante, pois possibilita a exploração em massa, não apenas ataques direcionados. Um único site malicioso pode infectar qualquer máquina suscetível que o visite.

Especialistas alertam que isso representa um risco particularmente elevado para usuários de criptomoedas que utilizam aplicativos descentralizados, páginas de reivindicação de tokens ou provedores de serviços de negociação de terceiros, já que golpes envolvendo criptomoedas continuam a crescer.

Medidas de Proteção e Resposta da Apple

Felizmente, pesquisadores indicam que as versões mais recentes do sistema operacional da Apple já corrigiram as vulnerabilidades exploradas pelo Coruna.

Acredita-se que o kit de exploração não afeta usuários com as versões mais atuais do iOS. Equipes de segurança recomendam que os usuários atualizem seus iPhones para a última versão do iOS imediatamente. As vulnerabilidades que permitiam o acesso do Coruna ao sistema foram eliminadas com a atualização.

Para proteger seus dispositivos, os especialistas também sugerem ativar o Modo de Bloqueio, uma opção disponível nos dispositivos Apple que impede intrusões avançadas de spyware, especialmente quando não é possível atualizar o sistema. Segundo os pesquisadores, o Coruna suspende automaticamente sua operação ao detectar o Modo de Bloqueio ativo no dispositivo.