A agência de cibersegurança dos Estados Unidos (CISA) ordenou que agências federais corrijam três falhas de segurança do iOS que estavam sendo alvo de ataques de ciberespionagem e roubo de criptomoedas por meio do kit de exploração Coruna, conforme comunicado divulgado pela própria agência na quinta-feira.
As vulnerabilidades fazem parte de um conjunto de 23 falhas do iOS exploradas pelo Coruna. Pesquisadores do Google Threat Intelligence Group (GTIG) revelaram no início desta semana que o kit utiliza múltiplas cadeias de exploração, muitas das quais foram implantadas em ataques de dia zero. Apesar da gravidade, o GTIG esclareceu que os exploits não funcionam em versões recentes do iOS e são bloqueados se o alvo estiver usando navegação privada ou tiver ativado o Modo de Bloqueio, recurso antiespionagem da Apple.
Ameaça global e cadeia de infecção
O kit Coruna oferece aos atores de ameaças capacidades de contornar o PAC (código de autenticação de ponteiro), escapar da sandbox e violar a PPL (camada de proteção de páginas). Segundo o GTIG, isso permite que os invasores obtenham execução remota de código no WebKit e escalem privilégios para o nível de kernel em dispositivos vulneráveis.
O GTIG observou o kit sendo usado por vários atores de ameaças no ano passado, incluindo um cliente de uma empresa de vigilância, um suposto grupo de hackers apoiado pela Rússia (UNC6353) e um ator chinês com motivação financeira (UNC6691). Conforme detalhou o grupo de inteligência do Google, o ator chinês implantou o Coruna em sites falsos de jogos de azar e criptomoedas, utilizando-o para entregar um malware projetado para roubar carteiras de vítimas infectadas.
A empresa de segurança móvel iVerify também comentou sobre a ameaça, afirmando que o Coruna é um exemplo de “capacidades sofisticadas de nível de spyware” que migraram “de fornecedores comerciais de vigilância para as mãos de atores estatais e, finalmente, para operações criminosas em grande escala”.
Ordem da CISA e prazos
Na quinta-feira, a CISA adicionou três das 23 vulnerabilidades exploradas pelo Coruna ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas. A agência determinou que as agências do Poder Executivo Civil Federal (FCEB) protejam seus dispositivos até 26 de março, conforme exigido pela Diretiva Operacional Vinculante (BOD) 22-01.
“Aplique as mitigações conforme as instruções do fornecedor, siga as orientações aplicáveis da BOD 22-01 para serviços em nuvem ou interrompa o uso do produto se as mitigações não estiverem disponíveis”, alertou a CISA em seu comunicado. A agência justificou a medida explicando que “esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para o governo federal”.






