CloudZ wykorzystuje Microsoft Phone Link do przechwytywania SMS-ów i kodów OTP - Security Bez Tabu

CloudZ wykorzystuje Microsoft Phone Link do przechwytywania SMS-ów i kodów OTP

Cybersecurity news

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa opisali nową kampanię z użyciem złośliwego oprogramowania CloudZ RAT, które nadużywa aplikacji Microsoft Phone Link do pozyskiwania wiadomości SMS oraz kodów jednorazowych OTP. Kluczowym elementem tego scenariusza nie jest bezpośrednie przejęcie smartfona, lecz kompromitacja komputera z systemem Windows, na którym przechowywane są zsynchronizowane dane z telefonu.

To istotna zmiana perspektywy w ocenie ryzyka. W wielu środowiskach użytkownicy zakładają, że drugi składnik uwierzytelniania pozostaje bezpieczny, jeśli trafia na urządzenie mobilne. Tymczasem integracja telefonu z komputerem może sprawić, że wrażliwe dane uwierzytelniające stają się dostępne także na stacji roboczej.

W skrócie

  • CloudZ to modułowy trojan zdalnego dostępu wykorzystywany do kradzieży danych i wykonywania poleceń na zainfekowanym urządzeniu.
  • Nowa wtyczka Pheno monitoruje aktywność Microsoft Phone Link i próbuje uzyskać dostęp do lokalnej bazy SQLite aplikacji.
  • Atakujący mogą w ten sposób przechwytywać wiadomości SMS, w tym kody OTP, oraz część powiadomień uwierzytelniających.
  • Łańcuch infekcji obejmuje fałszywą aktualizację ScreenConnect, loader w Rust, komponent .NET i mechanizmy trwałości.
  • Zagrożenie podważa bezpieczeństwo metod MFA opartych na SMS-ach i powiadomieniach synchronizowanych z telefonem.

Kontekst / historia

Microsoft Phone Link jest standardowym elementem ekosystemu Windows 10 i Windows 11, zaprojektowanym do integracji komputera ze smartfonem. Użytkownik może z poziomu komputera odczytywać wiadomości, sprawdzać powiadomienia, obsługiwać połączenia oraz korzystać z innych funkcji zwiększających wygodę pracy.

Z punktu widzenia cyberbezpieczeństwa taka wygoda ma jednak swoją cenę. Dane, które pierwotnie trafiają na telefon, mogą zostać zapisane lokalnie na komputerze. To oznacza, że atakujący nie musi omijać zabezpieczeń urządzenia mobilnego, jeśli wystarczy mu dostęp do synchronizujących się artefaktów przechowywanych na stacji roboczej.

Opisany przypadek wpisuje się w szerszy trend obserwowany w nowoczesnych kampaniach malware. Cyberprzestępcy coraz częściej atakują nie najbardziej chroniony element środowiska, lecz punkt styku pomiędzy różnymi systemami, gdzie funkcjonalność i wygoda użytkownika osłabiają tradycyjny model separacji.

Analiza techniczna

Zaobserwowany łańcuch infekcji rozpoczyna się od fałszywej aktualizacji ScreenConnect. Ten etap prowadzi do uruchomienia loadera napisanego w Rust, który następnie dostarcza kolejny komponent oparty na platformie .NET. Ostatecznie instalowany jest właściwy ładunek CloudZ RAT, a w systemie konfigurowana jest trwałość, między innymi za pomocą zaplanowanego zadania uruchamianego przy starcie systemu z wysokimi uprawnieniami.

Malware wykorzystuje kilka technik utrudniających analizę. Należą do nich mechanizmy wykrywania sandboxów, identyfikacja środowisk wirtualnych, sprawdzanie obecności narzędzi analitycznych oraz dynamiczne wykonywanie części funkcji w pamięci. Taki zestaw utrudnia zarówno analizę statyczną, jak i skuteczne wykrywanie oparte wyłącznie na sygnaturach.

Sam CloudZ działa jako modułowy RAT, który po odszyfrowaniu konfiguracji nawiązuje komunikację z serwerem C2 i przyjmuje polecenia operatora. Może zarządzać plikami, uruchamiać polecenia powłoki, prowadzić rozpoznanie systemu i ładować dodatkowe wtyczki. Najistotniejszym komponentem w tej kampanii jest jednak moduł Pheno.

Pheno monitoruje aktywność Microsoft Phone Link na zainfekowanym komputerze. Gdy wykryje aktywną sesję, koncentruje się na lokalnej bazie SQLite aplikacji, w której mogą znajdować się zsynchronizowane wiadomości SMS, historia połączeń i powiadomienia. W praktyce otwiera to drogę do przechwycenia kodów OTP i innych danych uwierzytelniających bez potrzeby instalowania złośliwego oprogramowania na samym telefonie.

Badacze zwrócili także uwagę na maskowanie ruchu sieciowego. CloudZ rotuje między predefiniowanymi nagłówkami User-Agent, aby komunikacja bardziej przypominała legalny ruch przeglądarkowy. Dodatkowo stosowane są nagłówki ograniczające cache’owanie, co zmniejsza liczbę pośrednich śladów pozostawianych w infrastrukturze sieciowej.

Konsekwencje / ryzyko

Najważniejszą konsekwencją tej techniki jest osłabienie modelu bezpieczeństwa MFA. Jeśli użytkownik otrzymuje kody SMS lub powiadomienia uwierzytelniające na telefon, ale równolegle synchronizuje je z komputerem przez Phone Link, to przejęcie samej stacji roboczej może wystarczyć do zdobycia drugiego składnika logowania.

Ryzyko dla organizacji i użytkowników obejmuje nie tylko kradzież jednorazowych kodów, ale również szerszą kompromitację środowiska:

  • przejęcie kont zabezpieczonych kodami SMS,
  • obniżenie skuteczności wybranych metod MFA,
  • dostęp do lokalnych danych użytkownika i zasobów systemu,
  • ułatwienie dalszego ruchu bocznego po środowisku,
  • utrudnione wykrycie incydentu, ponieważ telefon może pozostać formalnie nienaruszony.

Dla zespołów bezpieczeństwa oznacza to konieczność ponownej oceny aplikacji synchronizujących urządzenia. Narzędzia łączące komputer i smartfon nie powinny być traktowane wyłącznie jako element wygody, lecz jako realna część powierzchni ataku.

Rekomendacje

W pierwszej kolejności warto ograniczać zależność od kodów OTP przesyłanych SMS-em wszędzie tam, gdzie jest to możliwe. Znacznie bezpieczniejszym rozwiązaniem są metody odporne na phishing, w tym klucze sprzętowe oraz nowoczesne mechanizmy uwierzytelniania bezhasłowego.

Z perspektywy operacyjnej i obronnej organizacje powinny rozważyć następujące działania:

  • ograniczenie użycia Microsoft Phone Link na stacjach roboczych mających dostęp do systemów krytycznych,
  • monitorowanie tworzenia nowych zadań harmonogramu, szczególnie uruchamianych z podwyższonymi uprawnieniami,
  • wykrywanie nietypowego użycia narzędzi systemowych typu LOLBin, takich jak regasm.exe,
  • analizowanie dostępu procesów do lokalnych baz SQLite aplikacji użytkownika,
  • wdrożenie EDR ukierunkowanego na detekcję loaderów .NET, wykonywania kodu w pamięci i zachowań antyanalitycznych,
  • przegląd oraz ograniczenie nieautoryzowanych mechanizmów synchronizacji danych między urządzeniami,
  • aktualizację polityk MFA z uwzględnieniem ryzyka pośredniego przechwycenia kodów przez stację roboczą,
  • wykorzystanie opublikowanych wskaźników kompromitacji do threat huntingu i weryfikacji telemetrii.

W środowiskach korporacyjnych warto również ustalić, które grupy użytkowników korzystają z Phone Link i jakie typy danych uwierzytelniających mogą być przez tę aplikację pośrednio ujawniane. Taka analiza pozwala lepiej zaplanować segmentację, monitoring i polityki dostępu.

Podsumowanie

Przypadek CloudZ pokazuje, że bezpieczeństwo wieloskładnikowego uwierzytelniania może zostać osłabione nie tylko przez phishing czy złośliwe aplikacje mobilne, ale również przez kompromitację komputera synchronizującego dane z telefonu. Wtyczka Pheno wykorzystuje zaufany mechanizm integracji Windows ze smartfonem, aby uzyskać dostęp do wiadomości SMS i potencjalnie innych powiadomień uwierzytelniających.

Dla organizacji to wyraźny sygnał, że aplikacje mostkujące urządzenia należy uwzględniać w modelowaniu zagrożeń, politykach MFA i monitoringu endpointów. Granica między bezpieczeństwem telefonu a bezpieczeństwem komputera staje się coraz mniej wyraźna, a atakujący potrafią skutecznie wykorzystać tę zależność.

Źródła

  1. CloudZ malware abuses Microsoft Phone Link to steal SMS and OTPs — https://www.bleepingcomputer.com/news/security/cloudz-malware-abuses-microsoft-phone-link-to-steal-sms-and-otps/
  2. CloudZ RAT potentially steals OTP messages using Pheno plugin — https://blog.talosintelligence.com/cloudz-pheno-infostealer/