В новой версии инструмента удаленного доступа (RAT) CloudZ используется ранее неизвестный вредоносный плагин под названием Pheno, который перехватывает соединение Microsoft Phone Link с целью кражи конфиденциальных данных с мобильных устройств.
вредоносное ПО было обнаружено в ходе атаки, которая велась, по крайней мере, с января, и исследователи полагают, что целью злоумышленников была кража учетных данных и временных кодов доступа.
Microsoft Phone Link поставляется в составе Windows 10 и 11 и позволяет использовать компьютер для совершения и приема звонков, ответа на текстовые сообщения или просмотра уведомлений, полученных на телефоне (Android и iOS).
Используя это приложение, злоумышленник мог перехватывать конфиденциальные сообщения, доставляемые на мобильный телефон жертвы, не взламывая само устройство.
Исследователи Cisco Talos сообщают, что Pheno отслеживает активные сеансы Phone Link и получает доступ к локальной базе данных SQLite, которая может содержать SMS и одноразовые пароли (OTP).
Это дает злоумышленнику доступ к конфиденциальной информации без необходимости взлома мобильного устройства.
При подтвержденной активности Phone Link на компьютере жертвы злоумышленник, использующий RAT CloudZ, потенциально может перехватить файл Базы данных SQLite приложения Phone Link на компьютере жертвы, что может привести к компрометации SMS-сообщений с OTP и других уведомлений приложений аутентификации, сообщает Cisco Talos.
Помимо возможностей, присутствующих в плагине Pheno, CloudZ может нацеливаться на данные, хранящиеся в веб-браузерах, профилировать хост-системы и выполнять команды для:
- Операций управления файлами (удаление, загрузка и запись)
- Выполнения команд оболочки
- Запуска записи экрана
- Управления плагинами (загрузка, удаление, сохранение на диск)
- Прекращения процесса RAT
Cisco сообщает, что CloudZ чередует три жестко запрограммированных строки user-agent, чтобы HTTP-трафик выглядел как легитимные запросы браузера. Каждый HTTP-запрос включает антикеширующие заголовки, чтобы предотвратить кэширование прокси/CDN деталей C2 или промежуточного сервера.
Исследователи не определили вектор первоначального доступа, но обнаружили, что заражение начинается, когда жертва запускает поддельное обновление ScreenConnect, которое запускает загрузчик на базе Rust. За этим следует развертывание загрузчика .NET, который устанавливает CloudZ RAT и обеспечивает постоянное присутствие в системе с помощью запланированной задачи.
Загрузчик .NET также включает в себя проверки на противодействие анализу, такие как шаги по обходу песочницы на основе времени, проверки на наличие инструментов анализа, таких как Wireshark, Fiddler, Procmon и Sysmon, а также проверки на наличие строк, связанных с виртуальными машинами и песочницами.
Для защиты от таких атак пользователям следует избегать сервисов OTP на основе SMS и использовать приложения-аутентификаторы, не требующие push-уведомлений, которые могут быть перехвачены. Для более конфиденциальной информации рекомендуется перейти на использование решений, устойчивых к фишингу, таких как аппаратные ключи.
Cisco Talos опубликовал набор индикаторов компрометации, включая URL-адреса, хеши вредоносных компонентов, домены и IP-адреса, которые специалисты по безопасности могут использовать для защиты своих сред.