Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Windows Phone Link е искористен од CloudZ RAT за кражба на креденцијали и еднократни лозинки (OTP)

Објавено: 06.05.2026

Истражувачи за сајбер-безбедност открија детали за упад кој вклучува користење на CloudZ алатка за далечински пристап (RAT) и претходно недокументиран приклучок наречен Pheno, со цел олеснување на кражба на креденцијали.

„Според функционалностите на CloudZ RAT и Pheno приклучокот, ова било со намера да се украдат креденцијалите на жртвите и потенцијално еднократни лозинки (OTP)“, изјавија истражувачите од Cisco Talos, Алекс Каркинс и Четан Рагхупрасад, во анализа објавена во вторникот.

Она што го прави нападот нов е тоа што CloudZ го користи прилагодениот Pheno приклучок за да ја преземе контролата врз веќе воспоставената врска меѓу компјутер и телефон, злоупотребувајќи ја апликацијата Microsoft Phone Link. Ова му овозможува на приклучокот да ги следи активните процеси на Phone Link и потенцијално да пресретнува чувствителни мобилни податоци како SMS пораки и еднократни лозинки (OTP), без потреба од инсталирање малвер на самиот телефон.

Овие наоди покажуваат како легитимните функции за синхронизација меѓу уреди можат да отворат неочекувани патишта за напади со цел кражба на креденцијали и да помогнат во заобиколување на двофакторска автентикација. Дополнително, не е потребно директно компромитирање на мобилниот уред.

Според компанијата за сајбер-безбедност, овој малвер се користи во рамки на упад кој е активен најмалку од јануари 2026 година. Активноста засега не е поврзана со познат актер или група на закани.

Вграден во Windows 10 и Windows 11, Phone Link им овозможува на корисниците да го поврзат својот компјутер со Android уред или iPhone преку Wi-Fi и Bluetooth, што им дозволува да остваруваат или примаат повици, да испраќаат пораки и да ги отфрлаат известувањата.

Непознати актери на закани се забележани како се обидуваат да ја искористат оваа апликација користејќи CloudZ RAT и Pheno, за да потврдат активност на Phone Link во околината на жртвата и потоа да пристапат до SQLite база на податоци што програмата ја користи за складирање на синхронизираните податоци од телефонот. Се смета дека синџирот на напад користи сè уште неутврден метод за почетен пристап за да воспостави присуство во системот и да постави лажен ConnectWise ScreenConnect извршен фајл, кој е одговорен за преземање и извршување на .NET loader. Почетниот „dropper“ исто така користи вграден PowerShell скрипт за да обезбеди постојаност преку поставување закажана задача што го стартува малициозниот .NET loader.

Средниот loader е дизајниран да врши проверки на хардверот и околината со цел да избегне детекција и да го инсталира модуларниот CloudZ тројанец на машината. По извршување, тројанецот компилиран во .NET дешифрира вградена конфигурација, воспоставува енкриптирана socket врска со серверот за команда и контрола (C2) и чека инструкции кодирани со Base64, кои му овозможуваат да извлече креденцијали и да инсталира дополнителни приклучоци.

Некои од командите што ги поддржува CloudZ вклучуваат:

  • pong – испраќа одговори за „heartbeat“
  • PING! – испраќа барање за „heartbeat“
  • CLOSE – го прекинува процесот на тројанецот
  • INFO – собира системски метаподатоци
  • RunShell – извршува shell команда
  • BrowserSearch – извлекува податоци од веб-прелистувач
  • GetWidgetLog – извлекува логови и податоци од Phone Link
  • plugin – вчитува приклучок
  • savePlugin – зачувува приклучок на диск во staging директориум („C:\ProgramData\Microsoft\whealth\“)
  • sendPlugin – испраќа приклучок до C2 серверот
  • RemovePlugins – ги отстранува сите поставени приклучоци
  • Recovery – овозможува обновување или повторно поврзување
  • DW – врши операции за преземање и запишување фајлови
  • FM – врши операции за управување со фајлови
  • Msg – испраќа порака до C2 серверот
  • Error – пријавува грешки до C2 серверот
  • rec – го снима екранот

„Напаѓачот користел приклучок наречен Pheno за да изврши извидување на Windows Phone Link апликацијата на машината на жртвата“, соопшти Talos. „Приклучокот врши извидување на Microsoft Phone Link апликацијата и ги запишува добиените податоци во излезен фајл во staging папка. CloudZ потоа ги чита податоците од Phone Link од таа папка и ги испраќа до C2 серверот.“

Извори:

  • The Hacker News – Windows Phone Link Exploited by CloudZ RAT to Steal Credentials and OTPs The Hacker News