CloudZ 恶意软件利用 Microsoft Phone Link 窃取短信和一次性密码

CloudZ 远程访问工具 (RAT) 的新版本正在部署一种以前从未见过的恶意插件 Pheno，该插件会劫持 Microsoft Phone Link 连接，从移动设备窃取敏感代码。

该恶意软件是在一次至少从一月份就开始活动的入侵事件中发现的，研究人员认为攻击者的目的是窃取凭证和临时通行码。

Microsoft Phone Link 已安装在 Windows 10 和 11 中，允许用户使用计算机拨打和接听电话、回复短信或查看在移动设备（Android 和 iOS）上收到的通知。

通过利用该应用程序，威胁行为者可以在不损害目标设备的情况下拦截发送到目标手机的敏感信息。

Cisco Talos 研究人员在今天的一份报告中表示，Pheno 会监控活跃的 Phone Link 会话并访问其本地 SQLite 数据库，其中可能包含短信和一次性密码 (OTP)。

这使得攻击者无需入侵移动设备即可获取敏感信息。

Cisco Talos 表示：“如果确认受害者的机器上有 Phone Link 活动，使用 CloudZ RAT 的攻击者就有可能拦截受害者机器上的 Phone Link 应用程序的 SQLite 数据库文件，从而可能危及基于短信的 OTP 消息和其他身份验证器应用程序通知消息。 ”

除了 Pheno 插件具备的功能外，CloudZ 还可以针对存储在 Web 浏览器中的数据、分析主机系统并执行以下命令：

思科报告称，CloudZ 会在三个硬编码的用户代理字符串之间轮换，以使 HTTP 流量看起来像是合法的浏览器请求。每个 HTTP 请求都包含反缓存标头，以防止代理/CDN 缓存 C2 或暂存服务器的详细信息。

研究人员尚未确定初始入侵途径，但他们发现感染始于受害者执行伪造的 ScreenConnect 更新操作，该操作会释放一个基于 Rust 的加载器。随后，该加载器会部署一个 .NET 加载器，安装 CloudZ RAT 并通过计划任务建立持久化连接。

.NET 加载器还包含反分析检查，例如基于时间的沙箱规避步骤、对 Wireshark、Fiddler、Procmon 和 Sysmon 等分析工具的检查，以及对 VM 和沙箱相关字符串的检查。

为防范此类攻击，用户应避免使用基于短信的一次性密码服务，而应使用无需推送通知（推送通知可能被拦截）的身份验证器应用程序。对于更敏感的信息，建议改用防钓鱼解决方案，例如硬件密钥。

Cisco Talos 发布了一系列入侵指标，包括 URL、恶意组件的哈希值、域名和 IP 地址，防御者可以使用这些指标来保护他们的环境。

信息来源：BleepingComputer