'Kit Hacker Coruna": Apple corrige falhas em iPhones antigos após ataques

A Apple lançou atualizações de segurança para iPhones e iPads mais antigos. As melhorias são uma resposta a descoberta de pesquisadores do Google, que identificaram um kit de exploração chamado Coruna.

O Coruna é capaz de comprometer dispositivos com iOS entre as versões 13.0 e 17.2.1. As correções chegam nos formatos iOS 15.8.7 e iOS 16.7.15, para aparelhos que não conseguem instalar as versões mais recentes do sistema.

O que é o Coruna

O kit foi descoberto em fevereiro de 2025 pelo Grupo de Inteligência de Ameaças do Google (GTIG). Trata-se de um um conjunto de ferramentas prontas para invadir dispositivos, que reúne 23 brechas de segurança diferentes, organizadas em cinco cadeias de ataque.

A descoberta aconteceu quando os pesquisadores do Google interceptaram um ataque em andamento. Um JavaScript disfarçado estava sendo entregue a usuários por um cliente de uma empresa de vigilância comercial.

Em seguida, o mesmo kit foi identificado em campanhas de "watering hole" na Ucrânia , técnica em que criminosos infectam sites legítimos frequentados pelas vítimas. Mais tarde, um grupo financeiro chinês rastreado como UNC6691 também usou as mesmas ferramentas em ataques em larga escala.

Como o ataque funciona

O Coruna verifica se o dispositivo está no Modo de Bloqueio ou em uma aba de navegação privada e, se estiver, simplesmente não age. Isso reduz o risco de ser detectado. Se o alvo for considerado vulnerável,o kit dispara uma sequência de ataques. O golpe começa no navegador e vai abrindo caminho até o núcleo do sistema operacional.

Ao final da cadeia de infecção, um componente chamado PlasmaLoader assume o controle. Ele se injeta em um processo com permissões de administrador e instala um malware voltado para crimes financeiros.

O que o malware faz

O programa vasculha o aparelho em busca de carteiras de criptomoedas, frases de recuperação de senhas e dados bancários. As informações são enviadas para servidores remotos de forma criptografada.

O malware usa um algoritmo que gera automaticamente novos endereços. Isso garante que a conexão com os servidores se mantenha mesmo se alguns deles forem derrubados. A semente usada para alimentar esse algoritmo é a palavra "lazarus".

O nome não é coincidência. O Lazarus Group é um conhecido coletivo de hackers associado à Coreia do Norte , famoso por ataques a plataformas de criptomoedas. A presença da palavra como semente do algoritmo é um dos elementos que os pesquisadores do GTIG analisaram ao investigar a origem do kit.

Como se proteger

O Coruna não funciona contra as versões mais recentes do iOS. Os aparelhos que conseguem instalar o iOS 17.3 ou superior já estavam protegidos desde janeiro de 2024. O problema é quenem todo iPhone consegue atualizar para essas versões. É para esse público que a Apple preparou os patches lançados agora.

A atualização iOS 15.8.7 corrige quatro das vulnerabilidades exploradas pelo kit, incluindo falhas nos componentes WebKit. O motor de renderização de páginas web do iPhone, e no kernel - o núcleo do sistema operacional - também estão seguros na atualização.

Já o iOS 16.7.15 endereça uma vulnerabilidade adicional no WebKit. Usuários com aparelhos compatíveis com essas versões devem aplicar as correções o quanto antes, em Ajustes, depois em Geral e, por fim, em Atualização de Software.