O Grupo de Inteligência de Ameaças do Google (GTIG) publicou na quarta-feira um relatório que revela a implementação de uma nova ferramenta de exploração de vulnerabilidades no iPhone, chamada Coruna, que tem sido utilizada em atividades de fraude com criptomoedas em larga escala. A empresa de segurança cibernética iVerify revelou que o pacote de ferramentas Coruna pode ter origem no governo dos Estados Unidos e, após perder o controle, foi aproveitado por adversários e organizações criminosas na internet para fraudes com criptomoedas.
Análise técnica do pacote Coruna: como roubar direcionadamente carteiras de criptomoedas
(Origem: Mandiant)
Coruna utiliza tecnologia JavaScript para identificar dispositivos iOS que acessam sites falsos, realizando uma impressão digital do aparelho. Após verificar a versão do sistema, ela automaticamente implanta um exploit de vulnerabilidade. Uma vez que o dispositivo é comprometido, o pacote realiza buscas sistemáticas por informações sensíveis, incluindo:
Seed phrase (frase semente): varre ativamente textos locais contendo as palavras-chave “backup phrase” e “seed phrase”.
Aplicativos de criptomoedas populares: direciona-se a carteiras descentralizadas como Uniswap e MetaMask, extraindo chaves ou dados de contas.
Informações de contas financeiras: busca sincronizada por dados sensíveis de contas bancárias e outros métodos de pagamento.
O GTIG confirmou que Coruna não é compatível com as versões mais recentes do iOS, recomendando fortemente que todos os usuários de iPhone atualizem imediatamente seus sistemas. Para aqueles que não podem atualizar, é aconselhável ativar o “Modo de Bloqueio” fornecido pela Apple, que, segundo a própria Apple, é eficaz contra ataques altamente sofisticados e direcionados.
De ações de inteligência a sites de fraude com criptomoedas: duas rotas de disseminação do Coruna
As investigações do GTIG mostram que o pacote Coruna passou por duas fases distintas de uso. Inicialmente, suspeita-se que uma organização de inteligência russa tenha utilizado sites ucranianos comprometidos para direcionar o pacote a usuários de iPhone em regiões específicas, apresentando características típicas de coleta de informações de inteligência.
Em dezembro de 2025, o GTIG identificou, em um grande grupo de sites falsos em chinês relacionados a finanças, o mesmo framework JavaScript, incluindo uma réplica do site de troca de criptomoedas WEEX. Quando usuários de iOS acessam esses sites falsos, o pacote automaticamente extrai informações financeiras em segundo plano, priorizando seed phrases de carteiras de criptomoedas, representando uma ameaça direta à segurança patrimonial. Assim, o que inicialmente era uma ferramenta de ataque de inteligência foi transformada em uma ferramenta de fraude com criptomoedas em larga escala.
Controvérsia de atribuição: ferramenta do governo dos EUA ou malware comercial?
A maior controvérsia envolvendo o incidente é a origem potencial do Coruna. Rocky Cole, cofundador do iVerify, afirmou ao WIRED que a ferramenta “é extremamente complexa, desenvolvida com investimento de milhões de dólares, e apresenta características marcantes de módulos já atribuídos ao governo dos EUA”, sugerindo que este possa ser um caso de “ferramenta do governo dos EUA que, após perder o controle, foi aproveitada por adversários e grupos criminosos na internet”.
Por outro lado, um pesquisador sênior de segurança da Kaspersky discordou, afirmando que “não há evidências de reutilização de código real nos relatórios publicados” que sustentem essa atribuição. O GTIG também não revelou na sua publicação a identidade do cliente da primeira empresa de monitoramento que utilizou Coruna, deixando a questão da autoria em aberto por enquanto.
Perguntas frequentes
Coruna afeta as versões mais recentes do iPhone?
O GTIG confirmou que as cinco vulnerabilidades exploradas pelo Coruna são direcionadas às versões iOS 13.0 até 17.2.1, incompatíveis com as versões mais atuais do sistema. Todos os usuários de iPhone devem atualizar imediatamente seus sistemas. Para quem não puder atualizar, ativar o “Modo de Bloqueio” é recomendado para reduzir riscos.
Como o Google descobriu que o Coruna está sendo usado em fraudes com criptomoedas?
Em fevereiro de 2025, o GTIG identificou características específicas de código no pacote, rastreando o mesmo framework JavaScript presente em sites ucranianos comprometidos. Posteriormente, detectou a implantação completa em uma vasta rede de sites falsos em chinês que imitavam a troca WEEX, confirmando que a ferramenta evoluiu de um uso de ataque de inteligência para uma ferramenta de fraude com criptomoedas em larga escala.
Como proteger seed phrases de carteiras de criptomoedas contra esse tipo de ferramenta?
Além de atualizar o sistema iOS imediatamente, recomenda-se armazenar as seed phrases em meios de armazenamento offline, como hardware wallets ou backups em papel, evitando guardar as frases em dispositivos conectados à internet em texto claro. Além disso, é importante verificar a autenticidade de todos os sites relacionados a criptomoedas, evitando acessar sites financeiros de origem desconhecida.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
