Falha no iOS facilita roubo de seed por kit Coruna

O Coruna surgiu como um dos kits de exploração mais avançados já observados em ataques contra usuários de iPhone. Segundo o Google TAG, o sistema atua explorando 23 vulnerabilidades presentes no iOS entre as versões 13.0 e 17.2.1, permitindo o roubo silencioso de frases-semente de carteiras cripto.

A ferramenta operava inicialmente em ações de espionagem ligadas a grupos estatais. No entanto, sua adoção recente por operadores focados em crimes financeiros ampliou o alcance das ameaças, principalmente entre investidores que usam o celular como principal meio para gerenciar ativos.

Sites falsos ativam exploração automática

Os ataques começam quando o usuário acessa páginas maliciosas que imitam plataformas de apostas ou versões falsas da exchange WEEX. Assim que a página carrega, um script oculto analisa o dispositivo. Caso o aparelho esteja vulnerável, o sistema executa uma exploração remota via WebKit, contornando proteções do iOS e obtendo controle total do dispositivo.

Além disso, o Coruna opera de forma silenciosa. Não bloqueia o sistema nem tenta extorquir a vítima. Seu alvo são apenas arquivos ligados a carteiras autocustodiadas, incluindo dados de apps como MetaMask e BitKeep. O malware também verifica imagens em cache contendo QR codes e notas sem criptografia que possam revelar a frase-semente.

Depois de localizar frases BIP39 entre 12 e 24 palavras, o kit envia tudo para servidores de comando e controle por canais criptografados. Todo o processo ocorre em segundo plano, evitando travamentos ou alertas.

 Cronologia: 

Cronologia do kit de exploração Coruna para iOS – Fonte: Google

Cadeia avançada de exploração aumenta risco para investidores

A estabilidade da exploração impressiona especialistas. O Google TAG afirma que o Coruna mantém o sistema funcionando normalmente, o que dificulta qualquer detecção. Além disso, técnicas de ofuscação de tráfego reduzem a chance de o ataque ser bloqueado por mecanismos comuns de segurança em dispositivos móveis.

O kit circula em mercados clandestinos de armas cibernéticas. Ele já foi usado pelo grupo UNC6353, de origem russa, em ataques contra infraestrutura ucraniana em 2025. Atualmente, o UNC6691, de motivação financeira e base chinesa, utiliza a ferramenta em ataques massivos. Portanto, o que antes era usado apenas em espionagem agora se tornou ameaça direta para investidores comuns.

Essa mudança amplia os riscos, já que técnicas capazes de enfrentar defesas governamentais agora atuam contra usuários que mantêm valores altos em carteiras instaladas no celular.

Atualizações reduzem risco imediato

O perfil de vítimas inclui usuários que permanecem em versões anteriores ao iOS 17.2.1 e que acessam sites de apostas ou plataformas descentralizadas pouco conhecidas. Assim, basta visitar um domínio comprometido para que o aparelho seja invadido.

A Apple corrigiu todas as falhas exploradas pelo kit no iOS 17.3. Portanto, atualizar o sistema é a medida mais efetiva. Para quem utiliza modelos antigos, o Modo Lockdown adiciona proteção extra ao desativar recursos avançados, como o JIT do JavaScript, essenciais para que o ataque funcione.

Especialistas recomendam evitar o armazenamento de frases-semente em capturas de tela, notas ou arquivos não criptografados. Além disso, investidores que movimentam grandes valores devem considerar hard wallets como solução mais segura.

A descoberta do Coruna reforça a urgência de boas práticas de segurança. A combinação de múltiplas vulnerabilidades, ataques invisíveis e foco no roubo direto de seed evidencia o impacto potencial dessa ameaça em usuários que dependem do iPhone para operar no mercado cripto.