O kit de exploração **Coruna** representa uma evolução significativa do framework empregado anteriormente na campanha de espionagem Operação Triangulation. Esta campanha, ativa desde 2019, visou iPhones através de exploits de iMessage de zero-click. ### Escopo de Alvo Expandido O software atualizado agora lança uma rede mais ampla, visando especificamente os chips de ponta **A17** e **M3** da Apple, bem como sistemas operacionais até **iOS 17.2**. Esta expansão indica um esforço contínuo para manter a relevância contra as mais recentes defesas de hardware e software. ### Cadeias de Exploração e Vulnerabilidades **Coruna** incorpora cinco cadeias completas de exploração para iOS, explorando um total de 23 vulnerabilidades. Notavelmente, ele reutiliza **CVE-2023-32434** e **CVE-2023-38606**, duas vulnerabilidades previamente exploradas na Operação Triangulation. Pesquisadores da **Kaspersky** descobriram que o kit **Coruna** usa uma versão atualizada do exploit empregado na Operação Triangulation. > "Durante nossa análise, descobrimos que o exploit de kernel para as vulnerabilidades CVE-2023-32434 e CVE-2023-38606 usado no Coruna, na verdade, é uma versão atualizada do mesmo exploit que foi usado na Operação Triangulation", dizem os pesquisadores em um [relatório](https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/) hoje. ### Fluxo de Ataque De acordo com a análise da **Kaspersky**, a sequência de ataque começa no Safari com um stager. Esta fase inicial coleta informações sobre o dispositivo alvo, seleciona os exploits apropriados de Execução Remota de Código (RCE) e Código de Autenticação de Ponteiro (PAC), e recupera metadados criptografados necessários para as fases subsequentes. O payload então baixa componentes criptografados adicionais, os descriptografa usando ChaCha20, os descompacta com LZMA e analisa formatos de contêiner personalizados para extrair informações do pacote. Finalmente, com base na arquitetura do dispositivo e na versão do iOS, ele seleciona e executa o exploit de kernel, o carregador Mach-O e o lançador para implantar o spyware.  _Fonte: Kaspersky_ As descobertas da **Kaspersky** também revelam que os payloads suportam arquiteturas ARM64 e ARM64E, incluindo verificações explícitas para chips **A17**, **M3**, **M3 Pro** e **M3 Max**. Os IDs de pacote e as verificações de sistema indicam ainda que os exploits podem ter como alvo: * iOS < 14.0 beta 7 * iOS < 14.7 * iOS < 16.5 beta 4 * iOS < 16.6 beta 5 * iOS < 17.2 ### Conexão Triangulation **Boris Larin**, pesquisador sênior de segurança na Equipe Global de Pesquisa e Análise (GReAT) da **Kaspersky**, enfatizou a conexão com a Triangulation: "Coruna não é um remendo de exploits públicos; é uma evolução continuamente mantida do framework original da Operação Triangulation." Os desenvolvedores estão atualizando ativamente o framework para incluir verificações para processadores mais novos (por exemplo, M3) e compilações do iOS. ### De Espionagem a Roubo de Criptomoedas **Coruna** também foi observado em campanhas com motivação financeira visando o roubo de criptomoedas através de sites de exchange falsos. Como Larin observa, "o que começou como uma ferramenta de espionagem de precisão agora é implantado indiscriminadamente." ### Outros Kits de Exploração para iOS Esta divulgação segue a descoberta recente de outro kit de exploração, **DarkSword**, por pesquisadores de empresas de segurança móvel **Lookout** e **iVerify**, e **Google**. **DarkSword** também está sendo usado por múltiplos atores de ameaças, principalmente para espionagem. A disponibilidade pública do **DarkSword** aumenta o risco de cibercriminosos o utilizarem contra iPhones sem patches. ### Resposta da Apple A **Apple** lançou um [boletim de segurança](https://support.apple.com/en-us/126776) abordando esses kits de exploração recém-descobertos, afirmando que correções para todas as falhas identificadas foram incluídas em atualizações de segurança para as versões mais recentes e anteriores do iOS.