Um sofisticado kit de exploração para iPhone chamado Coruna está sendo ativamente usado para roubar chaves de carteiras de criptomoedas de iPhones vulneráveis.
1. Coruna tem como alvo iPhones rodando iOS 13–17.2.1 através de sites de finanças maliciosos e criptomoedas falsas, utilizando 23 vulnerabilidades encadeadas para assumir silenciosamente o controle dos dispositivos.
2. Uma vez instalado, ele escaneia fotos, notas e aplicativos de carteira (por exemplo, MetaMask, Phantom, Trust Wallet) em busca de frases-semente, códigos QR e chaves, permitindo o roubo irreversível de fundos.
3. Atualizar para o iOS mais recente (17.3 ou mais recente), usar o Modo de Bloqueio e manter as frases-semente completamente offline reduz materialmente o risco desta classe de exploração.
Mergulho Profundo
1. O que é a Coruna e quem ela atinge
O Grupo de Inteligência de Ameaças do Google e outros pesquisadores descrevem a Coruna como um kit de 23 vulnerabilidades do iOS em cinco cadeias de exploração que visam dispositivos no iOS 13.0 a 17.2.1. Versões mais novas (iOS 17.3 e acima) corrigem os principais bugs dos quais a Coruna depende, então iPhones não corrigidos ou mais antigos são a principal superfície de risco.
Os atacantes implantam a Coruna através de sites de finanças e criptomoedas comprometidos ou falsos, incluindo trocas falsas e portais de jogos, que empurram um framework JavaScript oculto quando visitados a partir de um iPhone vulnerável. O kit começou em campanhas de vigilância e espionagem, mas migrou para crimes financeiros em massa, com uma campanha estimada em ter comprometido cerca de 42.000 dispositivos.
O que isso significa, se você usar um iPhone mais antigo ou não corrigido para criptomoedas e navegar em sites de negociação, jogos ou airdrops menores ou desconhecidos, você está no grupo de maior risco.
2. Como Rouba as Chaves da Carteira
A Coruna funciona como uma visita para ataque de comprometimento, simplesmente carregar uma página maliciosa pode acionar uma exploração de execução remota de código do WebKit, contornando as proteções do sandbox do iOS e dando ao atacante acesso de alto nível.
Uma vez dentro, o malware procura especificamente por dados de criptomoedas. Relatórios dizem que ele escaneia
1. Diretórios de aplicativos de carteira para MetaMask, Phantom, Trust Wallet, Bitget e outros.
2. Fotos e capturas de tela para códigos QR e frases-semente.
3. Notas e arquivos para palavras-chave como frase de backup, semente e conta bancária.
Frases-semente e chaves BIP39 roubadas são exfiltradas para servidores remotos, permitindo que os atacantes recriem carteiras em outros lugares e drenem fundos sem precisar que você assine uma transação maliciosa.
3. Defesas Práticas Para Usuários de Criptomoedas
Pesquisadores de segurança recomendam consistentemente três camadas de defesa:
1. Corrija o dispositivo, atualize para a versão mais recente do iOS; iOS 17.3 e versões mais novas fecham os pontos de entrada conhecidos da Coruna e o Modo de Bloqueio da Apple bloqueia completamente suas cadeias de exploração.
2. Mova as chaves para fora do telefone, mantenha as frases-semente em papel ou em um cartão de hardware wallet, não em fotos, notas, gerenciadores de senhas sem forte criptografia, ou dentro do histórico de email/chat.
3. Fortaleça hábitos de navegação, evite sites desconhecidos de DeFi de alto rendimento, airdrop, cassino ou troca em um telefone que possui carteiras, e prefira usar carteiras de autocustódia de um dispositivo separado e limpo.
O que isso significa, trate qualquer telefone que já armazenou uma frase-semente em fotos ou notas, enquanto estiver em uma versão vulnerável do iOS, como potencialmente comprometido e considere a rotação para novas carteiras e chaves novas.
Conclusão
A Coruna transforma explorações de iOS de nível estatal anteriormente em uma ferramenta escalável para roubar criptomoedas, tendo iPhones mais antigos e não corrigidos como o principal alvo. Para usuários de criptomoedas do dia a dia, o maior risco não é um hack de aplicativo chamativo, mas a perda silenciosa de frases-semente e chaves colhidas de fotos, notas e carteiras quentes em um único dispositivo comprometido. Manter o iOS totalmente atualizado, separar os investimentos de longo prazo em hardware ou carteiras frias e nunca armazenar frases de recuperação digitalmente são as maneiras mais eficazes de se manter à frente dessa classe.