Uma nova versão da ferramenta de acesso remoto CloudZ (RAT) está utilizando um plugin malicioso inédito chamado Pheno, que se aproveita da conexão do Microsoft Phone Link para roubar códigos sensíveis de dispositivos móveis. O malware foi identificado em uma intrusão ativa desde janeiro, com o objetivo de roubar credenciais e senhas temporárias. O Microsoft Phone Link, disponível em Windows 10 e 11, permite que os usuários façam chamadas e respondam a mensagens diretamente do computador, o que facilita a interceptação de mensagens sem comprometer o dispositivo móvel. O Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados local SQLite, que pode conter SMS e senhas de uso único (OTPs). Além disso, o CloudZ RAT possui capacidades adicionais, como gerenciamento de arquivos e execução de comandos. A infecção ocorre quando a vítima executa uma atualização falsa do ScreenConnect, que instala um loader baseado em Rust, seguido pela instalação do CloudZ RAT. Para se proteger, recomenda-se evitar serviços de OTP via SMS e optar por aplicativos de autenticação que não dependam de notificações que podem ser interceptadas. A Cisco Talos publicou indicadores de comprometimento que podem ajudar na proteção contra essa ameaça.
Fonte: https://www.bleepingcomputer.com/news/security/cloudz-malware-abuses-microsoft-phone-link-to-steal-sms-and-otps/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
05/05/2026 • Risco: ALTO
MALWARE
Novo malware CloudZ rouba códigos de autenticação via Microsoft Phone Link
RESUMO EXECUTIVO
O CloudZ RAT, com seu plugin Pheno, representa uma ameaça significativa ao roubar informações sensíveis através do Microsoft Phone Link. A exploração dessa vulnerabilidade pode resultar em sérios impactos financeiros e legais para as organizações, especialmente em relação à conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a acessos não autorizados e comprometimento de dados.
Operacional
Roubo de credenciais e senhas temporárias.
Setores vulneráveis
['Setores que utilizam Microsoft Phone Link e serviços de autenticação via SMS']
📊 INDICADORES CHAVE
O malware foi identificado em uma intrusão ativa desde janeiro.
Indicador
O Pheno pode acessar SMS e OTPs armazenados no SQLite.
Contexto BR
Cisco Talos publicou indicadores de comprometimento para proteção.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há atualizações não autorizadas do ScreenConnect em sistemas.
2
Desabilitar o uso de SMS para OTP e implementar autenticação via aplicativos.
3
Monitorar atividades suspeitas relacionadas ao Microsoft Phone Link e ao acesso a bancos de dados SQLite.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de roubo de credenciais e senhas, que pode levar a acessos não autorizados e comprometer a segurança da organização.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
