A equipa Global Research and Analysis Team (GReAT) da Kaspersky identificou uma evolução significativa no ecossistema de ciberameaças direcionadas a dispositivos iPhone. A análise ao exploit kit “Coruna” confirma tratar-se de um desenvolvimento direto do framework utilizado na campanha de ciberespionagem Operation Triangulation.
De acordo com os especialistas, os exploits de kernel presentes em ambos os casos apresentam fortes semelhanças técnicas, apontando para a mesma origem de desenvolvimento. Esta conclusão reforça a ideia de continuidade e evolução estruturada da ameaça.
A Operation Triangulation foi revelada pela Kaspersky em junho de 2023, após a deteção de atividade maliciosa na rede Wi-Fi corporativa da empresa, que visava dispositivos iOS de colaboradores. A investigação permitiu identificar quatro vulnerabilidades de dia zero que afetavam uma vasta gama de equipamentos Apple.
A análise mais recente demonstra que um dos cinco exploits de kernel incluídos no Coruna corresponde a uma versão atualizada de um exploit anteriormente identificado durante a investigação à Operation Triangulation. Os restantes exploits, incluindo dois desenvolvidos após a divulgação pública da campanha, baseiam-se no mesmo framework de exploração.
As semelhanças estendem-se a vários componentes do código, confirmando que o Coruna não resulta de uma simples agregação de ferramentas, mas sim de uma evolução contínua e sustentada do framework original.
Compatibilidade com hardware e versões recentes de iOS
O código analisado revela suporte para processadores Apple A17, M3, M3 Pro e M3 Max, bem como referências a versões de iOS até à 17.2. Adicionalmente, inclui verificações específicas para o iOS 16.5 beta 4, versão que a Apple disponibilizou para corrigir vulnerabilidades previamente reportadas.
“Quando o Coruna foi detetado pela primeira vez, não havia evidência pública suficiente para associar o seu código à Operation Triangulation. No entanto, após análise aprofundada, tornou-se claro que não se trata de um conjunto de exploits públicos, mas de uma evolução contínua do framework original. A inclusão de suporte para hardware recente e versões atuais de iOS demonstra que os seus desenvolvedores permanecem ativos”, afirma Boris Larin, Investigador Sénior de Segurança da Kaspersky GReAT.
Segundo o responsável, o que começou como uma ferramenta altamente direcionada de ciberespionagem está agora a ser utilizado de forma mais alargada, aumentando o nível de risco para os utilizadores.
Atualizações continuam a ser a principal linha de defesa
A Kaspersky sublinha que, embora a Apple já tenha corrigido as vulnerabilidades exploradas pelo Coruna, os dispositivos que não estejam atualizados continuam expostos a potenciais ataques.
Para reduzir a exposição a ciberameaças, a empresa recomenda a adoção de boas práticas de segurança, incluindo a atualização regular de sistemas operativos e aplicações, a implementação de soluções de monitorização centralizada e o reforço das capacidades de deteção e resposta a incidentes.
Adicionalmente, a Kaspersky destaca a importância de soluções de inteligência de ameaças e de proteção de endpoints, bem como da formação contínua das equipas de cibersegurança, de forma a garantir uma resposta eficaz a ameaças cada vez mais sofisticadas.
