{"id":24925,"date":"2026-04-24T09:00:59","date_gmt":"2026-04-24T12:00:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24925"},"modified":"2026-04-23T16:29:18","modified_gmt":"2026-04-23T19:29:18","slug":"ios-exploits-darksword-and-coruna-in-mass-attacks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/24925\/","title":{"rendered":"O iPhone n\u00e3o \u00e9 t\u00e3o invenc\u00edvel assim: uma an\u00e1lise do DarkSword e do Coruna"},"content":{"rendered":"<p>O DarkSword e o Coruna s\u00e3o novas ferramentas utilizadas em ataques invis\u00edveis a dispositivos iOS. Esses ataques n\u00e3o exigem intera\u00e7\u00e3o do usu\u00e1rio e j\u00e1 est\u00e3o sendo usados em larga escala por agentes mal-intencionados. Antes do surgimento dessas amea\u00e7as, a maioria dos usu\u00e1rios do iPhone n\u00e3o precisava se preocupar com a seguran\u00e7a de dados. Poucos grupos realmente se preocupavam com isso, como pol\u00edticos, ativistas, diplomatas, executivos de neg\u00f3cios de alto n\u00edvel e pessoas que lidam com dados extremamente confidenciais, j\u00e1 que eles poderiam vir a ser alvos de ag\u00eancias de intelig\u00eancia estrangeiras. J\u00e1 <a href=\"https:\/\/www.kaspersky.com\/blog\/predator-spyware-ios-recording-indicator-bypass\/55463\/\" target=\"_blank\" rel=\"noopener nofollow\">discutimos spywares avan\u00e7ados<\/a> usados contra esses grupos anteriormente, e observamos como era raro encontr\u00e1-los.<\/p>\n<p>No entanto, o DarkSword e o Coruna, descobertos por pesquisadores no in\u00edcio deste ano, s\u00e3o revolucion\u00e1rios. Esses malwares est\u00e3o sendo usados em infec\u00e7\u00f5es em massa de usu\u00e1rios comuns. Nesta postagem, explicamos por que essa mudan\u00e7a ocorreu, os riscos dessas ferramentas e como se proteger.<\/p>\n<h2>O que sabemos sobre o DarkSword e como ele pode infectar o seu iPhone<\/h2>\n<p>Em meados de mar\u00e7o de 2026, tr\u00eas equipes de pesquisa diferentes coordenaram a <a href=\"https:\/\/www.wired.com\/story\/hundreds-of-millions-of-iphones-can-be-hacked-with-a-new-tool-found-in-the-wild\/\" target=\"_blank\" rel=\"noopener nofollow\">divulga\u00e7\u00e3o das suas descobertas sobre um novo spyware<\/a> chamado de DarkSword. Essa ferramenta \u00e9 capaz de invadir silenciosamente dispositivos com o iOS 18, sem que o usu\u00e1rio perceba que algo est\u00e1 errado.<\/p>\n<p>Primeiro, devemos esclarecer uma coisa: o iOS 18 n\u00e3o \u00e9 t\u00e3o antigo quanto parece. Embora a <a href=\"https:\/\/pt.wikipedia.org\/wiki\/IOS_26\" target=\"_blank\" rel=\"noopener nofollow\">vers\u00e3o mais recente seja o iOS 26<\/a>, a Apple revisou recentemente o sistema de vers\u00f5es, surpreendendo a todos. A empresa decidiu avan\u00e7ar oito vers\u00f5es (da 18 diretamente para a 26) para que o n\u00famero do sistema operacional correspondesse ao ano atual. Apesar disso, a Apple estima que <a href=\"https:\/\/developer.apple.com\/support\/app-store\/\" target=\"_blank\" rel=\"noopener nofollow\">cerca de um quarto de todos os dispositivos ativos ainda executam o iOS 18 ou uma vers\u00e3o anterior<\/a>.<\/p>\n<p>Agora que isso j\u00e1 foi esclarecido, vamos voltar a falar sobre o DarkSword. A pesquisa mostra que esse malware infecta as v\u00edtimas quando elas visitam sites perfeitamente leg\u00edtimos que cont\u00eam c\u00f3digos maliciosos. O spyware se instala sem qualquer intera\u00e7\u00e3o do usu\u00e1rio: basta acessar uma p\u00e1gina comprometida. Isso \u00e9 conhecido como t\u00e9cnica de infec\u00e7\u00e3o zero clique. Os pesquisadores relatam que milhares de dispositivos j\u00e1 foram infectados desta forma.<\/p>\n<p>Para comprometer um dispositivo, o DarkSword usa uma cadeia de exploits com seis vulnerabilidades para evitar o sandbox, aumentar privil\u00e9gios e executar c\u00f3digo. Assim que o dispositivo \u00e9 infectado, o malware consegue coletar dados, incluindo:<\/p>\n<ul>\n<li>Senhas<\/li>\n<li>Fotos<\/li>\n<li>Conversas e dados do iMessage, WhatsApp e Telegram<\/li>\n<li>Hist\u00f3rico do navegador<\/li>\n<li>Informa\u00e7\u00f5es dos aplicativos Calend\u00e1rio, Notas e Sa\u00fade da Apple<\/li>\n<\/ul>\n<p>Al\u00e9m disso, o DarkSword coleta dados de carteiras de criptomoedas, atuando como malware de dupla finalidade para espionagem e roubo de criptoativos.<\/p>\n<p>A \u00fanica boa not\u00edcia \u00e9 que o spyware n\u00e3o sobrevive a uma reinicializa\u00e7\u00e3o. O DarkSword \u00e9 um malware sem arquivo, o que significa que ele vive na RAM do dispositivo e nunca se incorpora ao sistema de arquivos.<\/p>\n<h2>Coruna: direcionado \u00e0s vers\u00f5es mais antigas do iOS<\/h2>\n<p>Apenas duas semanas antes da descoberta do DarkSword se tornar p\u00fablica, os pesquisadores revelaram outra amea\u00e7a que tinha o iOS como alvo, <a href=\"https:\/\/www.wired.com\/story\/coruna-iphone-hacking-toolkit-us-government\/\" target=\"_blank\" rel=\"noopener nofollow\">chamada de Coruna<\/a>. Esse malware consegue comprometer dispositivos que executam softwares mais antigos, especificamente as vers\u00f5es 13 a 17.2.1 do iOS. O m\u00e9todo utilizado pelo Coruna \u00e9 exatamente igual ao do DarkSword: as v\u00edtimas visitam um site leg\u00edtimo injetado com c\u00f3digo malicioso que, em seguida, infecta o dispositivo delas com o malware. Todo o processo \u00e9 completamente invis\u00edvel e n\u00e3o requer intera\u00e7\u00e3o do usu\u00e1rio.<\/p>\n<p>Uma an\u00e1lise detalhada do c\u00f3digo do Coruna revelou que ele explora 23 vulnerabilidades distintas do iOS, v\u00e1rias delas localizadas no WebKit da Apple. Vale lembrar que, de um modo geral (fora da <a href=\"https:\/\/developer.apple.com\/support\/alternative-browser-engines\/\" target=\"_blank\" rel=\"noopener nofollow\">UE<\/a>), todos os navegadores iOS precisam usar o mecanismo WebKit. Isso significa que essas vulnerabilidades n\u00e3o afetam apenas os usu\u00e1rios do Safari, mas tamb\u00e9m qualquer pessoa que use outros navegadores no iPhone.<\/p>\n<p>A vers\u00e3o mais recente do Coruna, assim como o DarkSword, inclui modifica\u00e7\u00f5es projetadas para drenar carteiras de criptomoedas. Ele tamb\u00e9m coleta fotos e, em alguns casos, informa\u00e7\u00f5es de e-mails. Ao que tudo indica, roubar criptomoedas parece ser o principal motivo da implementa\u00e7\u00e3o generalizada do Coruna.<\/p>\n<h2>Quem criou o Coruna e o DarkSword, e como eles foram disseminados?<\/h2>\n<p>A an\u00e1lise do c\u00f3digo de ambas as ferramentas sugere que o Coruna e o DarkSword provavelmente foram desenvolvidos por grupos diferentes. No entanto, ambos s\u00e3o softwares criados por empresas patrocinadas pelo governo, possivelmente dos EUA. Isso se reflete na alta qualidade do c\u00f3digo: n\u00e3o s\u00e3o kits montados com partes aleat\u00f3rias, mas exploits projetados de forma uniforme. Em algum momento, essas ferramentas vazaram e foram parar nas m\u00e3os de gangues de cibercriminosos.<\/p>\n<p>Os especialistas da GReAT, da Kaspersky, analisaram todos os componentes do Coruna e confirmaram que o kit de explora\u00e7\u00e3o \u00e9 uma <a href=\"https:\/\/securelist.com\/coruna-framework-updated-operation-triangulation-exploit\/119228\/\" target=\"_blank\" rel=\"noopener\">vers\u00e3o atualizada da estrutura usada na Opera\u00e7\u00e3o Triangula\u00e7\u00e3o<\/a>. Esse ataque anterior tinha como alvo os funcion\u00e1rios da Kaspersky, uma <a href=\"https:\/\/www.kaspersky.com.br\/blog\/triangulation-37c3-talk\/22173\/\" target=\"_blank\" rel=\"noopener\">hist\u00f3ria que abordamos em detalhes neste blog<\/a>.<\/p>\n<p>Uma teoria sugere que um funcion\u00e1rio da empresa que desenvolveu o Coruna <a href=\"https:\/\/techcrunch.com\/2026\/03\/10\/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine\/\" target=\"_blank\" rel=\"noopener nofollow\">vendeu o malware para hackers<\/a>. Desde ent\u00e3o, ele tem sido usado para drenar carteiras de criptomoedas de usu\u00e1rios na China. Alguns especialistas estimam que pelo menos 42 mil dispositivos foram infectados somente neste pa\u00eds.<\/p>\n<p>Quanto ao DarkSword, os cibercriminosos j\u00e1 o usaram para infectar dispositivos de usu\u00e1rios na Ar\u00e1bia Saudita, Turquia e Mal\u00e1sia. O problema se agrava pelo fato de que os invasores que implementaram o DarkSword deixaram o c\u00f3digo-fonte completo nos sites infectados, facilitando a detec\u00e7\u00e3o dele por outros grupos criminosos.<\/p>\n<p>O c\u00f3digo tamb\u00e9m inclui coment\u00e1rios detalhados explicado exatamente o que faz cada componente, refor\u00e7ando a hip\u00f3tese de que ele surgiu no Ocidente. Essas instru\u00e7\u00f5es detalhadas tornam mais f\u00e1cil para outros hackers adaptarem a ferramenta para interesses pr\u00f3prios.<\/p>\n<h2>Como se proteger do Coruna e do DarkSword<\/h2>\n<p>Dois malwares poderosos que permitem a infec\u00e7\u00e3o em massa de iPhones sem exigir qualquer intera\u00e7\u00e3o do usu\u00e1rio ca\u00edram nas m\u00e3os de um grupo essencialmente ilimitado de cibercriminosos. Para ser infectado pelo Coruna ou pelo DarkSword, basta que voc\u00ea visite o site errado na hora errada. Portanto, este \u00e9 um daqueles casos em que todos os usu\u00e1rios precisam levar a s\u00e9rio a seguran\u00e7a do iOS, n\u00e3o apenas aqueles que pertencem a grupos de alto risco.<\/p>\n<p>A melhor coisa a fazer para se proteger do Coruna e do DarkSword \u00e9 atualizar assim que poss\u00edvel os dispositivos para a vers\u00e3o mais recente do iOS ou do iPadOS 26. Se isso n\u00e3o for poss\u00edvel (por exemplo, se o dispositivo for mais antigo e n\u00e3o compat\u00edvel com o iOS 26), ainda assim \u00e9 recomendado baixar a vers\u00e3o mais recente dispon\u00edvel. Especificamente, procure as vers\u00f5es <a href=\"https:\/\/support.apple.com\/pt-br\/126632\" target=\"_blank\" rel=\"noopener nofollow\">15.8.7<\/a>, <a href=\"https:\/\/support.apple.com\/pt-br\/126646\" target=\"_blank\" rel=\"noopener nofollow\">16.7.15<\/a> ou <a href=\"https:\/\/support.apple.com\/pt-br\/126793\" target=\"_blank\" rel=\"noopener nofollow\">18.7.7<\/a>. A Apple aplicou corre\u00e7\u00f5es em v\u00e1rios sistemas operacionais mais antigos, o que \u00e9 raro.<\/p>\n<p>Para proteger os dispositivos Apple contra malwares semelhantes que provavelmente aparecer\u00e3o no futuro, recomendamos fazer o seguinte:<\/p>\n<ul>\n<li><strong>Instale as atualiza\u00e7\u00f5es em todos os dispositivos da Apple o quanto antes. <\/strong>A empresa lan\u00e7a regularmente vers\u00f5es do SO que corrigem vulnerabilidades conhecidas. N\u00e3o as ignore.<\/li>\n<li><strong>Ative a op\u00e7\u00e3o Otimiza\u00e7\u00e3o de seguran\u00e7a em segundo plano.<\/strong> Esse recurso permite que o dispositivo receba corre\u00e7\u00f5es de seguran\u00e7a cr\u00edticas al\u00e9m das atualiza\u00e7\u00f5es completas do iOS, reduzindo o risco de explora\u00e7\u00e3o de vulnerabilidades pelos hackers. Para ativ\u00e1-lo, v\u00e1 para <em>Configura\u00e7\u00f5es<\/em> \u2192 <em>Privacidade e seguran\u00e7a<\/em> \u2192 <em>Otimiza\u00e7\u00e3o de seguran\u00e7a em segundo plano<\/em> e ative a op\u00e7\u00e3o <em>Instalar automaticamente<\/em>.<\/li>\n<li><strong>Considere usar o <\/strong><a href=\"https:\/\/www.kaspersky.com.br\/blog\/apple-lockdown-mode\/19810\/\" target=\"_blank\" rel=\"noopener\"><strong>Modo de bloqueio<\/strong><\/a><strong>.<\/strong> Essa \u00e9 uma configura\u00e7\u00e3o de seguran\u00e7a refor\u00e7ada que, apesar de limitar alguns recursos do dispositivo, bloqueia ou restringe ataques de forma significativa. Para ativ\u00e1-lo, v\u00e1 para <em>Configura\u00e7\u00f5es<\/em> \u2192 <em>Privacidade e seguran\u00e7a<\/em> \u2192 <em>Modo de bloqueio<\/em> \u2192 <em>Ativar o Modo de bloqueio<\/em>.<\/li>\n<li><strong>Reinicie o dispositivo uma vez por dia (ou mais).<\/strong> Isso interrompe a atua\u00e7\u00e3o de malwares sem arquivo, pois essas amea\u00e7as n\u00e3o s\u00e3o incorporadas ao sistema e desaparecem ap\u00f3s a reinicializa\u00e7\u00e3o.<\/li>\n<li><strong>Use o armazenamento criptografado para dados confidenciais.<\/strong> Mantenha chaves de carteiras de criptomoedas, fotos de documentos e dados confidenciais em um local seguro. <a href=\"https:\/\/www.kaspersky.com.br\/password-manager?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a> \u00e9 uma \u00f3tima op\u00e7\u00e3o para isso, pois gerencia suas senhas, tokens de autentica\u00e7\u00e3o de dois fatores e chaves de acesso em todos os dispositivos, mantendo notas, fotos e documentos sincronizados e criptografados.<\/li>\n<\/ul>\n<blockquote><p>A ideia de que os dispositivos da Apple s\u00e3o \u00e0 prova de balas \u00e9 um mito. Eles s\u00e3o vulner\u00e1veis a ataques de zero clique, cavalos de Troia e t\u00e9cnicas de infec\u00e7\u00e3o ClickFix. Al\u00e9m disso, aplicativos maliciosos j\u00e1 foram encontrados na App Store mais de uma vez. Leia mais aqui:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/predator-spyware-ios-recording-indicator-bypass\/55463\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>Predador vs. iPhone: a arte da vigil\u00e2ncia invis\u00edvel<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/airborne-wormable-zero-click-vulnerability-in-apple-airplay\/23814\/\" target=\"_blank\" rel=\"noopener\"><strong>AirBorne: Ataques a dispositivos da Apple atrav\u00e9s de vulnerabilidades no AirPlay<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/whisperpair-blueooth-headset-location-tracking\/24680\/\" target=\"_blank\" rel=\"noopener\"><strong>Os seus fones de ouvido Bluetooth est\u00e3o espionando voc\u00ea?<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/ios-android-ocr-stealer-sparkcat\/23379\/\" target=\"_blank\" rel=\"noopener\"><strong>O trojan para roubo de dados SparkCat penetra na App Store e no Google Play para roubar dados de fotos<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/banshee-stealer-targets-macos-users\/23400\/\" target=\"_blank\" rel=\"noopener\"><strong>Banshee: um malware de roubo de dados que persegue usu\u00e1rios do macOS<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kpm\">\n","protected":false},"excerpt":{"rendered":"<p>O surgimento do DarkSword e do Coruna, novos malwares voltados ao iOS, evidencia como cibercriminosos reaproveitam ferramentas de intelig\u00eancia governamental e as transformam em armas. Mostraremos como esses ataques funcionam, por que eles s\u00e3o t\u00e3o perigosos e o que voc\u00ea pode fazer para n\u00e3o ser infectado.<\/p>\n","protected":false},"author":2726,"featured_media":24926,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,12],"tags":[20,1288,72,96,118,2924,61,35,1448,2615,102,253,267,3340],"class_list":{"0":"post-24925","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"tag-apple","10":"tag-criptomoedas","11":"tag-exploits","12":"tag-ios","13":"tag-ipad","14":"tag-ipados","15":"tag-iphone","16":"tag-malware-2","17":"tag-navegadores","18":"tag-safari","19":"tag-senhas","20":"tag-spyware","21":"tag-vulnerabilidades","22":"tag-zero-clique"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/24925\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30414\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/25463\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30261\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/41717\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/55622\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30568\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/36148\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/35799\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24925"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24925\/revisions"}],"predecessor-version":[{"id":24927,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24925\/revisions\/24927"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24926"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}