Вредонос CloudZ использует Microsoft Phone Link для кражи SMS OTP с корпоративных ПК
Новая кампания вредоносного ПО использует функцию Microsoft Phone Link, чтобы перехватывать SMS-коды одноразового подтверждения и другие чувствительные мобильные данные прямо на компьютерах с Windows.
Активность, впервые замеченная Cisco Talos в январе 2026 года, включает remote access trojan под названием CloudZ и пользовательский плагин Pheno, которые вместе позволяют атакующим похищать учетные данные и, возможно, перехватывать коды аутентификации, синхронизированные со смартфона пользователя, написали исследователи Talos Алекс Карксинс и Четан Рагхупрасад в блоге.
«Судя по функциям CloudZ RAT и плагина Pheno, это было сделано с намерением красть учетные данные жертв и потенциально одноразовые пароли (OTP)», — написали исследователи.
Атака не нацелена на сам мобильный телефон. Вместо этого она использует доверительные отношения между телефоном и ПК с Windows, отслеживая данные, зеркалируемые через приложение Phone Link, говорится в блоге.
CloudZ «использует пользовательский плагин Pheno, чтобы перехватить установленный мост ПК-к-телефону, злоупотребляя приложением Microsoft Phone Link, что позволяет плагину постоянно сканировать активные процессы Phone Link и потенциально перехватывать чувствительные мобильные данные, такие как SMS и OTP, без установки вредоносного ПО на телефон», говорится в отчете Talos.
Этот прием позволяет обойти необходимость взламывать сам мобильный девайс, что, по словам исследователей, делает инцидент особенно заметным для корпоративных защитников.
Это дополняет растущий набор методов злоумышленников, направленных на обход SMS- и app-based MFA за счет извлечения кодов аутентификации из скомпрометированных систем Windows, где синхронизируются мобильные данные.
Microsoft на запрос о комментарии оперативно не ответила.
Данные Phone Link становятся атакуемой поверхностью
Microsoft Phone Link, ранее известный как Your Phone, — это встроенная функция Windows, которая соединяет ПК со смартфоном и зеркалирует сообщения, уведомления и звонки на рабочем столе.
Pheno предназначен для поиска данных Phone Link, хранящихся локально в системе Windows. Согласно уведомлению, атакующий, использующий CloudZ, «может потенциально перехватить файл базы данных SQLite приложения Phone Link на машине жертвы, что может поставить под угрозу SMS-сообщения OTP и другие уведомления приложений-аутентификаторов».
Поскольку эти данные находятся на endpoint, техника переносит риск с мобильных устройств на управляемые предприятием системы Windows, потенциально обходя средства защиты, ориентированные на безопасность смартфонов.
Многоэтапная цепочка заражения
Вторжение начинается с неизвестного вектора первоначального доступа, после чего выполняется вредоносный файл, замаскированный под обновление ScreenConnect, сообщили в Talos.
Первичная нагрузка — загрузчик, скомпилированный на Rust и использующий имена файлов вроде «systemupdates.exe», который размещает .NET-загрузчик, замаскированный под текстовый файл, в системном каталоге, говорится в публикации.
Закрепление достигается через планировщик задач под названием «SystemWindowsApis», который запускается при старте с повышенными привилегиями с использованием легитимной утилиты regasm.exe, написали исследователи в блоге.
.NET-загрузчик выполняет антианалитические проверки перед распаковкой CloudZ. Он проводит несколько проверок, чтобы обнаружить средства безопасности и песочницы, прежде чем выполнить payload в памяти, говорится в отчете.
Он «вычисляет фактическое прошедшее время выполнения команды sleep, чтобы определить, выполняется ли она в среде анализа», и сканирует инструменты вроде Wireshark, Fiddler, Procmon и Sysmon. «.NET-загрузчик завершает работу, если они обнаружены в среде жертвы», добавили в блоге.
После этого payload CloudZ расшифровывается в памяти и выполняется, говорится в материале.
RAT обеспечивает кражу учетных данных и доставку плагина
CloudZ устанавливает зашифрованное соединение с сервером command-and-control и поддерживает набор функций, включая сбор учетных данных, операции с файлами и удаленное выполнение команд, сообщили в Talos.
Вредонос также получает вторичные конфигурационные данные из инфраструктуры, контролируемой атакующими.
Исследователи Talos написали, что RAT загружает конфигурационные данные с удаленных серверов и «извлекает IP-адрес C2-сервера … и номер порта … устанавливая соединения через TCP-сокеты».
Он также меняет строки user-agent, чтобы его трафик был похож на легитимную активность браузера, отметили исследователи.
Плагин Pheno отслеживает активную синхронизацию устройств
Плагин Pheno отвечает за выявление активных сеансов Phone Link и включение перехвата данных.
Он «сканирует все запущенные процессы на предмет конкретных ключевых слов, таких как ‘YourPhone’, ‘PhoneExperienceHost’ или ‘Link to Windows’», и локально записывает результаты, говорится в отчете.
Затем плагин проверяет признаки proxy-соединения, которое Phone Link использует для передачи данных между устройствами.
«Наличие ‘proxy’ … указывает на то, что сеанс Phone Link активно направляет трафик через свой relay channel», — написали исследователи.
Когда такая активность обнаружена, плагин помечает систему как подключенную, что «в конечном итоге позволяет атакующему … потенциально отслеживать запросы SMS или OTP, появляющиеся в приложении Phone Link», говорится в отчете.
Talos выпустила сигнатуры обнаружения и indicators of compromise, включая хеши вредоносного ПО, инфраструктуру command-and-control и правила Snort, связанные с этой активностью.
Cisco Talos не атрибутировала эту активность известной threat actor.
Статья первоначально опубликована на CSO.
Материал — перевод статьи с английского.
Оригинал: Stealthy malware abuses Microsoft Phone Link to siphon SMS OTPs from enterprise PCs