Há tempo que os exploit kits deixaram de ser meras ferramentas de testes para se tornarem plataformas sofisticadas de ataque. Um exemplo recente é o chamado framework Coruna, que, segundo a análise de pesquisadores da Kaspersky, representa uma continuidade e modernização do conjunto de ferramentas utilizadas na campanha de espionagem conhecida como Operation Triangulation. Essa campanha, descoberta em 2023, ganhou notoriedade pelo uso de exploits "zero-click" em iMessage que permitiam comprometer o iPhone sem interação do usuário; Coruna toma essa base e leva à próxima geração de hardware e versões do iOS. Mais detalhes técnicos e evidências da ligação podem ser consultados no relatório da Kaspersky publicado pela sua equipa GReAT.
Do ponto de vista técnico, Coruna não é um exploit isolado, mas um kit modular: inclui cinco cadeias completas de exploração para iOS que aproveitam, em conjunto, 23 vulnerabilidades conhecidas e até agora privadas. Entre essas falhas encontram-se as identificadas como CVE-2023-32434 e CVE-2023-38606, duas das quais já fizeram parte do repertório de Triangulation. O trabalho de análise da Kaspersky mostrou que parte do código explorador empregado contra essas vulnerabilidades é uma versão revista e mantida do exploit original, sugerindo uma evolução sustentada do mesmo projeto desde anos atrás.
Coruna foi ampliado para reconhecer e atacar arquiteturas modernas: os binários incluem verificações explícitas para chips como o A17 e a família M3(M3, M3 Pro e M3 Max), e suportam execuções em ARM64 e ARM64E. Quanto a sistemas operacionais, as verificações e condicionantes no pacote permitem que o kit seleccione exploits e carregadores adequados para dispositivos com versões iOS que abrangem até iOS 17.2, e até mesmo para builds beta anteriores. Essa combinação de suporte de hardware e software converte Coruna em uma ameaça capaz de afetar desde equipamentos relativamente antigos até os modelos mais recentes da Apple.
O processo de infecção descrito pelos pesquisadores começa no navegador Safari através de um pequeno "stager" que coleta informações do dispositivo - o que em segurança se chama fingerprinting - para determinar quais rotas de execução (RCE) e técnicas de evasão são aplicáveis. A partir dessa decisão, o atacante recupera metadados criptografados que guiam as seguintes etapas. O pacote malicioso descarrega componentes adicionais protegidos criptograficamente, que depois são decifrados (as análises falam do uso de ChaCha20), descomprimidos (LZMA) e desempaquetados por contêineres personalizados até obter os elementos executáveis finais: o exploit do kernel correspondente, um carregador Mach-O e o lançador que exibe o implante.
Essa abordagem modular permite que o kit escolha dinâmicamente o exploit exato segundo a arquitetura e a versão do iOS do objetivo, o que aumenta a taxa de sucesso e a persistência do ataque. Além disso, a análise da Kaspersky sublinha que o código mostra continuidade com Triangulation além da mera reutilização de falhas: há traços de desenvolvimento e testes contínuos que apontam para uma equipe ou ator que manteve e atualizado o framework com o tempo.
O preocupante é a diversificação dos usos: o que começou como uma ferramenta de espionagem muito dirigida agora aparece também em campanhas com motivação econômica, por exemplo para roubar criptomoedas através de páginas de troca fraudulentas que imitam plataformas legítimas. Esse deslocamento de objetivo ilustra uma tendência preocupante: ferramentas inicialmente reservadas a atores com recursos agora são aproveitadas, ou pelo menos adaptadas, por grupos para fins puramente criminosos. Em paralelo, outras plataformas como o exploit kit conhecido como DarkSword foram divulgadas recentemente e estão em circulação entre múltiplos atores, o que aumenta ainda mais o risco para dispositivos que não estejam atualizados.
Diante deste panorama, a primeira linha de defesa é clara: manter os dispositivos com as atualizações de segurança aplicadas. A Apple publicou um boletim com adesivos que corrigem as vulnerabilidades recentemente descritas; recomenda-se que todos os usuários e administradores instalem essas atualizações quanto antes. A nota oficial da Apple pode ser consultada na sua página de suporte sobre o conteúdo de segurança.
Além de atualizar, é conveniente adotar práticas simples, mas eficazes: não abrir links ou páginas suspeitas, desconfiar de sites que imitam serviços financeiros, ativar atualizações automáticas e usar mecanismos adicionais de proteção para ativos sensíveis, como a autenticação de múltiplos fatores e, no caso de criptomoedas, carteiras frias (hardware wallets). As empresas e entes públicos devem seguir os guias e avisos de segurança dos seus fornecedores e de organismos de cibersegurança para avaliar exposição e mitigar riscos.
A história de Coruna lembra um padrão recorrente em cibersegurança: exploits e plataformas desenvolvidas para operações direcionadas podem, com o tempo, se tornar ferramentas muito mais acessíveis e perigosas quando atualizadas, redistribuídas ou replicadas. A conclusão é tanto técnica como prática: a prevenção e a higiene digital continuam a ser a barreira mais eficaz contra ameaças que evoluem tão rápido quanto os chips e sistemas que pretendem violar.
Para quem quiser aprofundar o assunto, além do relatório da Kaspersky, há cobertura e análise em meios especializados que ampliam o contexto técnico e as implicações para usuários e organizações; um ponto de partida útil é a crônica jornalística sobre o uso recente de Coruna em furtos de criptoativos em hurtos BleepingComputer, e para manter o dia com advertências e orientações das autoridades, a web da CISA Oferece recursos e avisos relevantes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...