Cloudz

Pesquisadores de segurança da Cisco Talos identificaram uma nova variante do trojan de acesso remoto (RAT) CloudZ, que utiliza um plugin chamado Pheno para explorar a ferramenta Microsoft Phone Link. Essa ferramenta permite que usuários conectem seus dispositivos Android e iOS aos computadores com Windows 10 e 11, facilitando a realização de chamadas e o envio de mensagens. No entanto, o plugin Pheno permite que atacantes interceptem mensagens SMS e senhas temporárias (OTPs) sem precisar comprometer o telefone. Ao monitorar sessões ativas do Phone Link, o malware acessa um banco de dados local que armazena essas informações, comprometendo assim a autenticação de dois fatores (2FA). Os pesquisadores alertam que, embora o Phone Link seja uma funcionalidade útil, sua exploração pode levar a sérias vulnerabilidades de segurança. Eles recomendam que os usuários evitem serviços de OTP baseados em SMS e optem por aplicativos de autenticação que não dependam de notificações interceptáveis. A Cisco Talos ainda não conseguiu determinar como os usuários foram infectados, mas enfatiza a necessidade de precauções adicionais para proteger informações sensíveis.

Uma nova versão da ferramenta de acesso remoto CloudZ (RAT) está utilizando um plugin malicioso inédito chamado Pheno, que se aproveita da conexão do Microsoft Phone Link para roubar códigos sensíveis de dispositivos móveis. O malware foi identificado em uma intrusão ativa desde janeiro, com o objetivo de roubar credenciais e senhas temporárias. O Microsoft Phone Link, disponível em Windows 10 e 11, permite que os usuários façam chamadas e respondam a mensagens diretamente do computador, o que facilita a interceptação de mensagens sem comprometer o dispositivo móvel. O Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados local SQLite, que pode conter SMS e senhas de uso único (OTPs). Além disso, o CloudZ RAT possui capacidades adicionais, como gerenciamento de arquivos e execução de comandos. A infecção ocorre quando a vítima executa uma atualização falsa do ScreenConnect, que instala um loader baseado em Rust, seguido pela instalação do CloudZ RAT. Para se proteger, recomenda-se evitar serviços de OTP via SMS e optar por aplicativos de autenticação que não dependam de notificações que podem ser interceptadas. A Cisco Talos publicou indicadores de comprometimento que podem ajudar na proteção contra essa ameaça.