Pesquisadores revelam ataque com CloudZ RAT e plugin Pheno para roubo de credenciais

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança da Cisco Talos divulgaram detalhes sobre uma intrusão que utiliza a ferramenta de acesso remoto CloudZ RAT e um plugin não documentado chamado Pheno, com o objetivo de roubar credenciais de usuários. O ataque se destaca por explorar a aplicação Microsoft Phone Link, que permite a sincronização entre dispositivos, para interceptar dados sensíveis, como senhas e códigos de autenticação de dois fatores (OTPs), sem a necessidade de comprometer o dispositivo móvel.

A intrusão, que está ativa desde pelo menos janeiro de 2026, utiliza um método de acesso inicial ainda não determinado para instalar um executável falso do ConnectWise ScreenConnect, que baixa e executa um loader em .NET. Este loader estabelece uma conexão com um servidor de comando e controle (C2) e permite ao atacante exfiltrar dados do navegador e informações do Phone Link. O uso do plugin Pheno para realizar reconhecimento na aplicação Phone Link é uma abordagem inovadora que destaca como funcionalidades legítimas podem ser exploradas para roubo de credenciais.

Os pesquisadores alertam que essa técnica pode contornar a autenticação em duas etapas, representando um risco significativo para a segurança dos usuários e das organizações.

Fonte: https://thehackernews.com/2026/05/windows-phone-link-exploited-by-cloudz.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
06/05/2026 • Risco: ALTO
MALWARE

Pesquisadores revelam ataque com CloudZ RAT e plugin Pheno para roubo de credenciais

RESUMO EXECUTIVO
O ataque utilizando CloudZ RAT e o plugin Pheno representa uma nova abordagem para o roubo de credenciais, explorando a sincronização entre dispositivos. A capacidade de contornar a autenticação em duas etapas aumenta o risco para as organizações, exigindo atenção imediata dos líderes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a fraudes e compromissos de dados.
Operacional
Roubo de credenciais e potencial acesso não autorizado a dados sensíveis.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de telecomunicações']

📊 INDICADORES CHAVE

Intrusão ativa desde janeiro de 2026. Indicador
Uso do Microsoft Phone Link, que é integrado ao Windows 10 e 11. Contexto BR
Não há números específicos de vítimas ou impactos financeiros mencionados. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas relacionadas ao Microsoft Phone Link.
2 Implementar monitoramento rigoroso das conexões entre dispositivos e revisar políticas de autenticação.
3 Monitorar continuamente atividades de rede e tentativas de acesso não autorizado.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de roubo de credenciais e a exploração de funcionalidades legítimas para ataques, o que pode comprometer a segurança organizacional.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).