Visualização normal

Received before yesterdayTecnoblog

iPhones antigos são alvos de malware ligado à espionagem internacional

✇Tecnoblog
Por:Felipe Faustino
5 de Março de 2026, 09:52
iPhone 12 Mini com Super Retina XDR e iPhone XR com Liquid Retina (imagem: Emerson Alecrim/Tecnoblog)
Versões antigas do iOS são alvo de hackers (imagem: Emerson Alecrim/Tecnoblog)
Resumo

  • O Google analisou o exploit kit Coruna, que usa 23 vulnerabilidades do iOS para invadir iPhones sem instalação de aplicativos.

  • O kit teria circulado entre diferentes atores ao longo de 2025, incluindo espionagem estatal e grupos criminosos.

  • O malware foca em roubo financeiro, especialmente de carteiras de criptomoedas e chaves de recuperação.

Quem usa iPhone com uma versão antiga do iOS pode estar vulnerável a um exploit kit que passou pelas mãos do governo dos Estados Unidos, espiões russos e golpistas chineses ao longo de 2025. As informações sobre o kit, chamado Coruna, foram reveladas pelo Grupo de Inteligência contra Ameaças do Google (GTIG) nesta semana.

Segundo a apuração, o Coruna foi detectado inicialmente em fevereiro de 2025, operado por um cliente de uma empresa de vigilância não identificada. A mesma estrutura apareceu em campanhas do UNC6353, grupo suspeito de espionagem russa, que mirou sites e usuários da Ucrânia.

O ciclo de vazamentos culminou no final do ano, quando o pacote completo do malware foi utilizado em massa pelo UNC6691, um grupo hacker chinês.

Para os pesquisadores do grupo, o cenário indica o fortalecimento de um mercado paralelo de exploits “de segunda mão”, em que ferramentas digitais altamente destrutivas vazam dos alvos originais e passam a ser reaproveitadas por cibercriminosos comuns.

Como o ataque funciona?

Infográfico de linha do tempo do "Coruna iOS Exploit Kit" abrangendo de 2024 a 2026. Os marcos incluem: Janeiro de 2024 (Apple corrige vulnerabilidade no iOS 17.3), Fevereiro de 2025 (uso por cliente de empresa de vigilância), Julho de 2025 (uso em ataques contra sites ucranianos) e Dezembro de 2025 (uso em sites falsos de jogos e cripto para roubo de carteiras).
Coruna foi identificado em 2025 (imagem: reprodução/Google)

O Coruna combina 23 vulnerabilidades do iOS em cinco cadeias de exploração, funcionando sem que a vítima precise instalar nada. De acordo com o Google, iPhones rodando o iOS 13 até o 17.2.1 são vulneráveis.

A cadeia começa com uma exploração do motor de navegação do Safari (WebKit) para executar o código remotamente no dispositivo. Em seguida, contorna proteções de memória do sistema e avança até obter acesso ao kernel do iPhone.

Segundo o GTIG, na campanha do grupo chinês, por exemplo, as iscas eram páginas falsas de corretores de finanças e jogos de azar. Uma vez dentro do dispositivo, o sistema carregava um payload focado exclusivamente em roubo financeiro, batizado de PlasmaLoader.

Implantada, a invasão atua contra as finanças da vítima, buscando chaves de segurança de contas e sequências BIP39, usadas na recuperação de carteiras de criptomoedas. O malware roubava informações de carteiras de ao menos 18 aplicativos, incluindo MetaMask, Trust Wallet, Phantom e Exodus.

Captura de tela de um site falso de criptomoedas da WEEX. Uma janela de aviso ("Tip") aparece no centro da tela com a mensagem: "Esta página é otimizada apenas para dispositivos iOS. Por favor, acesse de um iPhone ou iPad", indicando uma tática para filtrar vítimas específicas para o kit de exploração.
Site usado de isca indica uso do iPhone (imagem: reprodução/Google)

Ligação com o governo dos EUA

De acordo com a empresa de segurança iVerify, que realizou engenharia reversa, o kit pode ter nascido como um framework do governo dos Estados Unidos. Segundo ela, o código apresenta semelhanças estruturais com armas cibernéticas do país e contém uma extensa documentação escrita em inglês nativo.

Para completar, a revista Wired reportou que o Coruna utiliza módulos de invasão vistos anteriormente na “Operação Triangulation”. Em 2023, a Kaspersky afirmou que o governo dos EUA tentou espionar os iPhones de seus funcionários usando justamente essa campanha. O Google, no entanto, não confirmou a origem do kit.

Como se proteger?

O Coruna não é eficaz contra a versão mais recente do iOS. Por isso, a recomendação é que usuários de iPhone atualizem o sistema operacional. Quem não puder atualizar e quiser se proteger, deve ativar o Modo de Isolamento, disponível na seção “Privacidade e Segurança”, nos Ajustes. O kit também não afeta dispositivos em modo de navegação privada.

O Google afirmou ter adicionado todos os sites e domínios identificados ao Safe Browsing para impedir que usuários os acessem pelo Chrome e outros navegadores compatíveis.

iPhones antigos são alvos de malware ligado à espionagem internacional

iPhone 12 Mini com Super Retina XDR e iPhone XR com Liquid Retina (imagem: Emerson Alecrim/Tecnoblog)

(imagem: reprodução/Google)

Dinamarca culpa Rússia por ataques cibernéticos contra infraestrutura

✇Tecnoblog
Por:Diego Amorim
19 de Dezembro de 2025, 17:59
Bandeira da Dinamarca hasteada contra céu azul com nuvens, representando o país
Inteligência da Dinamarca detectou DDoS (foto: Markus Winkler/Pexels)
Resumo

O serviço de inteligência da Dinamarca atribuiu à Rússia uma série de ataques cibernéticos contra infraestrutura do país. O anúncio veio nessa quinta-feira (18/12), quando o DDIS (Serviço de Inteligência de Defesa Dinamarquês) divulgou uma avaliação sobre incidentes ocorridos em 2024 e 2025.

Segundo o DDIS, os dois grupos atuam em nome do Estado russo. No caso, o Z-Pentest teria sido responsável pelo ataque a um serviço de água em 2024 enquanto o NoName057(16) teria conduzido ataques de negação de serviço (DDoS) antes das eleições municipais dinamarquesas, realizadas em novembro.

A agência classificou os ataques como parte de uma campanha híbrida russa contra nações ocidentais. O objetivo seria gerar insegurança em países que apoiam a Ucrânia, de acordo com o documento oficial.

Como foram os ataques?

O ataque ao serviço de água teve objetivo de destruir o sistema, embora o DDIS não tenha detalhado a extensão dos danos. Já no caso dos ataques DDoS, o grupo NoName057(16) sobrecarregou sites dinamarqueses, tirando-os do ar durante o período eleitoral.

O serviço de inteligência também afirmou que as eleições municipais foram usadas como plataforma para atrair atenção pública, um padrão observado em outras eleições recentes na Europa.

A Dinamarca apoia a Ucrânia desde a invasão russa de fevereiro de 2022, fornecendo equipamentos militares, treinamento e assistência financeira. O país também participa das sanções internacionais contra Moscou, o que seria a principal motivação para esses ataques.

Reação do governo dinamarquês

O ministro de defesa da Dinamarca, Troels Lund Poulsen, afirmou que os ataques são evidências de que a guerra híbrida mencionada pelo governo agora se concretiza no território europeu.

Em paralelo a isso, o Ministério das Relações Exteriores convocou o embaixador russo para esclarecimentos sobre os incidentes.

Alerta internacional sobre grupos pró-Rússia

Neste mês, a CISA emitiu um alerta conjunto com o FBI, NSA e outras 20 agências de segurança e inteligência de países como Austrália, Canadá, Reino Unido, França e Alemanha.

O documento, atualizado no dia 18 de dezembro, alertou que grupos de hackers ativistas pró-Rússia realizam ataques oportunistas contra infraestrutura crítica global. Além dos grupos já citados pela Dinamarca, o alerta também menciona o CARR (Exército Cibernético da Rússia Renascido) e o Sector16.

Outros países escandinavos enfrentaram situações parecidas. Por exemplo, em agosto, hackers pró-Rússia abriram válvulas de uma barragem na Noruega após invadirem sistemas operacionais da estrutura.

Dinamarca culpa Rússia por ataques cibernéticos contra infraestrutura

Imagem: Markus Winkler/Pexels
❌