Uma nova versão da ferramenta de acesso remoto CloudZ (RAT) está utilizando um plugin malicioso inédito chamado Pheno, que se aproveita da conexão do Microsoft Phone Link para roubar códigos sensíveis de dispositivos móveis. O malware foi identificado em uma intrusão ativa desde janeiro, com o objetivo de roubar credenciais e senhas temporárias. O Microsoft Phone Link, disponível em Windows 10 e 11, permite que os usuários façam chamadas e respondam a mensagens diretamente do computador, o que facilita a interceptação de mensagens sem comprometer o dispositivo móvel. O Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados local SQLite, que pode conter SMS e senhas de uso único (OTPs). Além disso, o CloudZ RAT possui capacidades adicionais, como gerenciamento de arquivos e execução de comandos. A infecção ocorre quando a vítima executa uma atualização falsa do ScreenConnect, que instala um loader baseado em Rust, seguido pela instalação do CloudZ RAT. Para se proteger, recomenda-se evitar serviços de OTP via SMS e optar por aplicativos de autenticação que não dependam de notificações que podem ser interceptadas. A Cisco Talos publicou indicadores de comprometimento que podem ajudar na proteção contra essa ameaça.
