O Threat Intelligence Group do Google e a empresa de segurança iVerify compartilharam detalhes sobre o Coruna, um kit de exploração que encadeia múltiplas vulnerabilidades para atingir iPhones que executam versões mais antigas do iOS. Aqui estão os detalhes.
Sob o capô
Conforme descoberto pela Wired, uma postagem publicada hoje no Google Cloud Blog revela detalhes de um kit de exploração chamado Coruna, que aproveita cinco cadeias completas de exploração do iOS e 23 vulnerabilidades para comprometer iPhones não corrigidos executando iOS 13 até iOS 17.2.1.
Em um nível muito alto, o kit de exploração Coruna funciona encadeando múltiplas vulnerabilidades para violar progressivamente as camadas de segurança do iPhone.
Depois de visitar um site malicioso que usa JavaScript oculto para verificar o modelo do dispositivo, a versão do sistema e outras configurações de segurança, o ataque pode seguir vários caminhos para contornar as principais proteções do iOS, obter privilégios de alto nível e instalar malware que pode coletar dados ou até mesmo baixar módulos adicionais.
Curiosamente, o Google observa que a exploração verifica se o dispositivo está com o modo de bloqueio ativado e, em caso afirmativo, aborta o processo ou se o usuário está no modo de navegação privada.
Para ser claro, o kit de exploração tem como alvo iPhones que executam versões mais antigas do iOS e é ineficaz contra as versões mais recentes do sistema. Esta é uma das muitas razões pelas quais é importante manter os dispositivos atualizados.
Para uma visão muito mais aprofundada de como o Coruna funciona, bem como a lista completa de vulnerabilidades (e seus CVEs, quando disponíveis) que visam cada versão individual do iOS entre iOS 13 e iOS 17.2.1, confira a postagem completa no Blog do Google Cloud.
Nos bastidores
Juntamente com a postagem do Google, a empresa de segurança móvel iVerify também publicou um relatório sobre Coruna, oferecendo contexto adicional sobre suas possíveis origens.
Com base na engenharia reversa da estrutura, o iVerify diz que o Coruna parece ter sido construído sobre as mesmas bases das conhecidas ferramentas de hacking do governo dos EUA.
Do relatório do iVerify:
Esta é a primeira exploração em massa observada de telemóveis, incluindo iOS, por um grupo criminoso que utiliza ferramentas provavelmente construídas por um Estado-nação.
O que eles referem é que, apesar das aparentes raízes partilhadas do Coruna com outras ferramentas de hacking ligadas ao governo dos EUA, parece ter vazado em algum momento e foi utilizado em campanhas de espiões russos e cibercriminosos baseados na China.
Relatório após relatório no ano passado mostrou que o spyware tinha ultrapassado os alvos esperados na sociedade civil, como jornalistas e dissidentes, além de agentes criminosos, para atingir executivos de tecnologia e serviços financeiros, campanhas políticas e outras pessoas de influência ou com acesso privilegiado. Quanto mais difundido for o uso, maior será a probabilidade de ocorrer um vazamento.
Nas campanhas observadas, o iVerify e o Google afirmam que o kit de exploração foi entregue por meio de ataques “watering hole” em sites comprometidos, incluindo serviços falsos de criptomoeda projetados para atrair vítimas para páginas maliciosas.
Nessas campanhas, a carga final parece motivada financeiramente, com módulos projetados para extrair dados de carteiras de criptomoedas e frases de recuperação de dispositivos infectados.
Para ler o relatório completo do iVerify, siga este link.
Ofertas de acessórios na Amazon
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
