Um novo alerta de segurança revela que o kit de exploração Coruna, direcionado a dispositivos iOS, não é uma ferramenta isolada, mas sim uma evolução direta da sofisticada campanha Operação Triangulation, descoberta em 2023.
Segundo pesquisadores da Kaspersky, o código utilizado no Coruna reaproveita e expande exploits de kernel anteriormente usados em ataques altamente direcionados, indicando continuidade no desenvolvimento da mesma estrutura.
De espionagem direcionada a ataques em larga escala
Inicialmente projetado para ciberespionagem de alto nível, o Coruna evoluiu para um modelo mais amplo e perigoso. Agora, ele está sendo utilizado em campanhas massivas, atingindo usuários comuns de Apple iPhone com versões do sistema entre iOS 13 e iOS 17.2.1.
Pesquisas também apontam que o kit foi observado em operações ligadas a um suposto agente estatal alinhado à Rússia, além de campanhas maliciosas que utilizam sites falsos de apostas e criptomoedas para distribuir malware.
Como o ataque funciona
O vetor inicial é simples, mas altamente eficaz: a vítima acessa um site comprometido usando o navegador Safari.
A partir daí, o kit:
- Identifica versão do iOS e do dispositivo
- Seleciona automaticamente o exploit adequado
- Executa uma cadeia de exploração completa
- Explora vulnerabilidades de kernel
- Instala o malware final
Entre as falhas exploradas estão:
- CVE-2023-32434
- CVE-2023-38606
Ambas foram originalmente utilizadas como zero-days na Operação Triangulation.
Evolução técnica do Coruna
O Coruna não apenas reutiliza código antigo, ele o aprimora continuamente. A nova versão inclui:
- Suporte a chips modernos como A17, M3, M3 Pro e M3 Max
- Compatibilidade com versões recentes do iOS
- Novas vulnerabilidades de kernel integradas
- Arquitetura modular para facilitar reutilização
Essa estrutura permite que o exploit selecione automaticamente o melhor método de ataque com base no hardware e firmware do dispositivo.
O papel do PlasmaLoader
Após a exploração bem-sucedida, o kit pode instalar o malware PlasmaLoader (também conhecido como PLASMAGRID), focado no roubo de dados sensíveis.
O processo inclui:
- Execução de carregadores Mach-O
- Instalação silenciosa do payload
- Limpeza de rastros para evitar análise forense
Risco crescente com vazamentos
O cenário se torna ainda mais preocupante com o vazamento do kit de exploração DarkSword no GitHub, o que pode democratizar o acesso a ferramentas avançadas de ataque.
Essa tendência transforma exploits antes restritos a operações de inteligência em armas acessíveis para cibercriminosos comuns.
Como se proteger
Para reduzir os riscos, usuários e administradores devem:
- Manter o iOS sempre atualizado
- Evitar acessar links suspeitos
- Não confiar em sites de apostas ou criptomoedas desconhecidos
- Utilizar soluções de segurança confiáveis
- Monitorar comportamentos anômalos no dispositivo
Conclusão
O Coruna representa uma mudança preocupante no cenário de ameaças móveis: ferramentas antes usadas em espionagem de alto nível estão sendo adaptadas para ataques em massa.
Essa evolução reforça a importância de manter dispositivos atualizados e adotar práticas rigorosas de segurança digital.
