Los investigadores de ciberseguridad han detallado una intrusión que implicó el uso de la herramienta de acceso remoto (RAT) CloudZ y un complemento anterior no documentado llamado Pheno para facilitar el robo de credenciales.
«Basado en la funcionalidad del complemento CloudZ RAT y Pheno, estaba destinado a robar las credenciales de las víctimas y potencialmente contraseñas de un solo uso (OTP)», dijeron los investigadores de Cisco Talos Alex Karkins y Chetan Raghuprasad en un análisis el martes.
Lo que hace que este ataque sea novedoso es que CloudZ utiliza un complemento Pheno personalizado para secuestrar el puente de PC a teléfono establecido al explotar la aplicación Microsoft Phone Link, lo que permite que el complemento monitoree los procesos activos de Phone Link y potencialmente intercepte datos móviles confidenciales como SMS y contraseñas de un solo uso (OTP) sin introducir malware en el teléfono.
Nuestros hallazgos demuestran cómo las capacidades legítimas de sincronización entre dispositivos pueden ayudar a exponer vectores de ataques no deseados al robo de credenciales y eludir la autenticación de dos factores. Además, elimina la necesidad de comprometer el propio dispositivo móvil.
El malware se ha utilizado como parte de una intrusión que ha estado activa desde al menos enero de 2026, según la firma de ciberseguridad. Esta actividad no se atribuye a ningún atacante o grupo conocido.
Integrado en Windows 10 y Windows 11, Phone Link ofrece a los usuarios una forma de emparejar su computadora con un dispositivo Android o iPhone a través de Wi-Fi y Bluetooth, lo que les permite realizar y recibir llamadas, enviar mensajes, descartar notificaciones y más.
Se ha observado a un atacante desconocido aprovechando aplicaciones que utilizan CloudZ RAT y Pheno para ver la actividad del enlace telefónico en el entorno de la víctima e intentar acceder a los archivos de base de datos SQLite utilizados por el programa para almacenar datos telefónicos sincronizados.
Esta cadena de ataque supuestamente se afianzó utilizando un método de acceso inicial aún por determinar y soltó un ejecutable falso de ConnectWise ScreenConnect que era responsable de descargar y ejecutar el cargador .NET. El primer dropper también aprovecha un script de PowerShell integrado para establecer la persistencia mediante la configuración de una tarea programada para ejecutar el cargador .NET malicioso.
El cargador intermedio está diseñado para realizar comprobaciones ambientales y de hardware para evadir la detección e implementar el troyano modular CloudZ en las máquinas. Cuando se ejecuta, el troyano compilado en .NET espera instrucciones codificadas en Base64 que le permiten descifrar configuraciones incrustadas, establecer una conexión de socket cifrada a un servidor de comando y control (C2), robar credenciales e incrustar complementos adicionales.
Los comandos admitidos por CloudZ incluyen:
¡Pong, PING! para enviar una respuesta de latido, CERRAR para emitir una solicitud de latido, INFO para finalizar el proceso troyano, RunShell para recopilar metadatos del sistema, ejecutar el comando de shell BrowserSearch, GetWidgetLog para extraer datos del navegador web, complemento para extraer registros y datos de reconocimiento de Phone Link, savePlugin para cargar complementos, Staging Guarde el complemento en el disco en el directorio («C:\ProgramData\Microsoft\whealth\») sendPlugin, carga el complemento en el servidor C2 RemovePlugins, elimina todos los módulos de complementos implementados Recuperación, permite la recuperación o reconexión DW, realiza operaciones de descarga y escritura de archivos FM, realiza operaciones de administración de archivos Mensaje, envía un mensaje al servidor C2 Error, informa un error al servidor C2 rec, graba la pantalla
«Los atacantes utilizaron un complemento llamado Pheno para espiar la aplicación Windows Phone Link en la máquina víctima», dijo Talos. «El complemento realiza un reconocimiento de la aplicación Microsoft Phone Link en la máquina víctima y escribe los datos de reconocimiento en un archivo de salida en la carpeta de preparación. CloudZ vuelve a leer los datos de la aplicación Phone Link de la carpeta de preparación y los envía al servidor C2».
Source link
