Обнаружена угроза кибербезопасности от шпионского ПО CloudZ RAT, которое использует Windows Phone Link для кражи учетных данных пользователей. Это критично, потому что злоумышленники могут обходить двухфакторную аутентификацию, не имея доступа к мобильному устройству.
Ситуация на рынке и новые методы атак
CloudZ RAT активно использует недавно обнаруженный плагин Pheno для hijack'a соединения между компьютером и телефоном. Это позволяет работать с данными, которые обычно защищены, такими как SMS и одноразовые пароли. В исследовании Cisco Talos сообщается, что атака началась минимум с января 2026 года, и за это время не было установлено причастности каких-либо известных групп злоумышленников.
Технические детали атаки
Плагин Pheno считывает данные из приложения Windows Phone Link и отправляет их на сервер злоумышленника, обходя стандартные меры безопасности. Неподходящие действия начинаются с первоначального заражения через установленный исполняемый файл, который запускает вредоносный .NET загрузчик. Далее он выполняет проверки системы, чтобы избежать обнаружения и правильно загрузить CloudZ RAT.
По информации Talos, список команд, которые поддерживает CloudZ, включает операции для сбора данных системы, выполнения команд и извлечения учетных данных из браузеров. Это подчеркивает серьезность угрозы, так как злоумышленники могут быстро адаптироваться к методам защиты.
Последствия для пользователей и организаций
Пользователям стоит задуматься о безопасности своих данных, так как уязвимость затрагивает функции синхронизации между устройствами. Для организаций это сигнал о необходимости усиления контроля над доступом к корпоративным мобильным устройствам и активными мерами по обнаружению подобных атак, включая внедрение одноразовых паролей и улучшение процесса аутентификации.
Следующий шаг для исследователей — работа над методами защиты от CloudZ RAT и изучение новых уязвимостей, которые могут быть использованы в будущем. Это подчеркивает важность актуальных знаний о киберугрозах в быстро меняющемся цифровом мире.
