Ferramenta de hacking para iPhone desenvolvida para o governo dos EUA vaza para hackers.

O mecanismo de ataque Coruna para iPhones da Apple, desenvolvido por uma empresa americana e entregue às autoridades dos EUA, acabou nas mãos de hackers que o estão usando para atacar dispositivos de vítimas por motivos políticos e financeiros, descobriram pesquisadores de segurança cibernética do Google.

Fonte da imagem: Kevin Ku / unsplash.com

O ataque Coruna contra iPhones da Apple começa com a vítima visitando um site malicioso. Todo o esquema é um conjunto de ferramentas de alta tecnologia para invadir iPhones, incluindo cinco métodos de hacking que permitem à vítima contornar todas as medidas de segurança do dispositivo e instalar malware silenciosamente — tudo o que ela precisa fazer é visitar o site que hospeda o código de exploração. No total, o esquema Coruna explora 23 vulnerabilidades do iOS. Essa rara combinação de componentes sugere que o esquema foi desenvolvido por um grupo de hackers com muitos recursos, possivelmente apoiado pelo governo de algum país.

Alguns componentes do esquema Coruna, de acordo com especialistas da iVerify e do Google, remontam à Operação Triangulação, campanha de hacking descoberta pela Kaspersky Lab em 2023. Segundo uma teoria, o esquema foi desenvolvido ou adquirido pelo governo dos EUA. O código do Coruna é “altamente complexo, custou milhões de dólares para ser desenvolvido e compartilha características com outros módulos publicamente atribuídos ao governo dos EUA”, observou a iVerify. O incidente é notável porque a operação do esquema saiu do controle e foi sequestrada por terceiros — cibercriminosos apoiados por governos estrangeiros, bem como hackers motivados por lucro. Algo semelhante aconteceu em 2017, quando o EternalBlue, uma ferramenta de hacking para Windows, foi roubada da Agência de Segurança Nacional dos EUA e usada como base para os perigosos malwares WannaCry e NotPetya.

Fonte da imagem: Desola Lanre-Ologun / unsplash.com

Nas versões mais recentes do iOS 26, a Apple corrigiu as vulnerabilidades exploradas pelo esquema Coruna. Os métodos de ataque foram confirmados para dispositivos com versões do iOS de 13 a 17.2.1. Os exploits são executados no framework Webkit da Apple, o que significa que dispositivos com versões mais antigas do navegador Safari são vulneráveis. Ataques bem-sucedidos no Chrome e seus derivados não foram confirmados. Durante a execução, o código do Coruna verifica, entre outras coisas, se a configuração de segurança Modo de Bloqueio está ativada no iPhone. Se estiver, o ataque é interrompido.

Apesar dessas restrições, dezenas de milhares de smartphones foram infectados. Com o apoio de um parceiro, especialistas da iVerify contabilizaram o número de visitas a um dos servidores que gerenciam a versão comercial do Coruna, que ataca usuários de língua chinesa. De acordo com esses dados, aproximadamente 42.000 dispositivos foram invadidos. O número de vítimas de outras campanhas do Coruna não pôde ser calculado. Especialistas analisaram o código de ataque original e sua versão modificada, projetada para roubar fundos de carteiras de criptomoedas, fotos de dispositivos e e-mails. O código do exploit é altamente sofisticado, observou a iVerify, enquanto os módulos que realizam o roubo de dados são “mal escritos”.

Acredita-se que a origem do vazamento tenha sido corretores, que podem pagar dezenas de milhões de dólares por esquemas de hacking que exploram vulnerabilidades de dia zero. Esses esquemas são então vendidos para espionagem, crimes cibernéticos ou guerra cibernética. Aqueles que operam tais negócios são tipicamente inescrupulosos, dizem os especialistas, pois estão dispostos a…Eles vendem informações para o maior lance e não firmam contratos de exclusividade, atraindo vários compradores para o negócio.