Вредоносная программа CloudZ использует Microsoft Phone Link для кражи СМС и одноразовых паролей

Троян CloudZ использует ранее неизвестный вредоносный плагин под названием Pheno, который перехватывает соединение Microsoft Phone Link для кражи конфиденциального кода с мобильных устройств, пишет ZDNet со ссылкой на исследователей Cisco Talos. Эта кампания активна минимум с января 2026 года, целью злоумышленников была кража учётных данных и временных паролей.

Приложение Phone Link предустановлено в Windows 10 и Windows 11. Сервис позволяет использовать ПК для совершения и приёма звонков, ответа на текстовые сообщения или просмотра уведомлений, приходящих на мобильное устройство под управлением Android и iOS.

CloudZ — это модульный троян удалённого доступа (RAT), скомпилированный как исполняемый файл .NET и оснащённый рядом средств защиты от анализа и реверс-инжиниринга, включая обфускацию и обнаружение отладчиков и профилировщиков в своей среде.

В Cisco Talos указывают, что Pheno отслеживает активные сеансы Phone Link и обращается к локальной базе данных SQLite, которая может содержать СМС и одноразовые пароли. Это позволяет злоумышленнику получить доступ к конфиденциальной информации без необходимости компрометации мобильного устройства.

Помимо предоставляемых Pheno возможностей, CloudZ может нацеливаться на данные, хранящиеся в браузерах, профилировать хост системы и выполнять команды для:

• Операций по управлению файлами (удаление, загрузка и запись)

• Выполнения системных команд

• Записи экрана

• Управления плагинами (загрузка, удаление, сохранение на накопитель) 

• Завершения процесса RAT

По данным исследователей, CloudZ использует три жёстко закодированные строки user-gent, чтобы HTTP-трафик выглядел как легитимные запросы браузера. Каждый HTTP-запрос включает заголовки, препятствующие кэшированию, чтобы прокси-серверы и CDN не сохраняли данные C2 или тестового сервера.

Специалисты Cisco Talos пока не определили первоначальный вектор доступа, но выяснили, что заражение начинается, когда жертва выполняет поддельное обновление ScreenConnect, устанавливающее загрузчик на основе Rust. За этим следует развёртывание загрузчика .NET, который устанавливает CloudZ и обеспечивает постоянное присутствие в системе через запланированную задачу.

Для защиты от подобных атак пользователям следует избегать сервисов одноразовых паролей на основе СМС и использовать приложения-аутентификаторы, не требующие push-уведомлений, которые могут быть перехвачены. В случае работы с конфиденциальной информацией исследователи советуют перейти на использование решений, устойчивых к фишингу, таких как аппаратные ключи.