CloudZ RAT nadużywa Microsoft Phone Link do kradzieży danych i kodów OTP - Security Bez Tabu

CloudZ RAT nadużywa Microsoft Phone Link do kradzieży danych i kodów OTP

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowo opisana kampania malware pokazuje, że legalne mechanizmy synchronizacji między komputerem a smartfonem mogą zostać wykorzystane jako pośredni kanał kradzieży danych. W analizowanym scenariuszu trojan zdalnego dostępu CloudZ RAT, wspierany przez niestandardową wtyczkę Pheno, nadużywa funkcji Microsoft Phone Link do uzyskania dostępu do informacji zsynchronizowanych z telefonu.

Oznacza to, że atakujący nie musi przejmować samego urządzenia mobilnego, aby odczytać wiadomości SMS, dane uwierzytelniające czy potencjalnie jednorazowe kody OTP. Wystarczy skuteczna kompromitacja stacji roboczej z systemem Windows, na której działa synchronizacja telefonu.

W skrócie

CloudZ RAT to modularny trojan zdalnego dostępu wykorzystywany w kampanii aktywnej co najmniej od stycznia 2026 roku. Po uzyskaniu dostępu do hosta Windows operatorzy instalują loader .NET, utrzymują trwałość przez zaplanowane zadanie i uruchamiają właściwy moduł malware.

Najważniejszym elementem operacji jest wtyczka Pheno, która identyfikuje aktywność aplikacji Microsoft Phone Link, zbiera informacje rozpoznawcze i umożliwia odczyt danych przechowywanych lokalnie przez aplikację. Taki model ataku jest szczególnie groźny, ponieważ pozwala przechwytywać wrażliwe informacje z telefonu bez bezpośredniej infekcji smartfona.

  • celem są wiadomości SMS, poświadczenia i potencjalnie kody OTP,
  • atak opiera się na legalnym mechanizmie synchronizacji telefonu z komputerem,
  • kompromitacja hosta Windows może wystarczyć do obejścia części zabezpieczeń MFA.

Kontekst / historia

Microsoft Phone Link to narzędzie dostępne w systemach Windows 10 i Windows 11, służące do łączenia komputera z telefonem i synchronizacji wybranych danych, takich jak powiadomienia, wiadomości czy historia połączeń. Z perspektywy użytkownika zwiększa wygodę i produktywność, ale z perspektywy bezpieczeństwa oznacza także przeniesienie części wrażliwych danych mobilnych na stację roboczą.

Incydent wpisuje się w szerszy trend nadużywania zaufanych komponentów systemowych oraz popularnych aplikacji zamiast bezpośredniego atakowania telefonów lub infrastruktury uwierzytelniania wieloskładnikowego. To przesunięcie punktu ciężkości na host Windows jest istotne, ponieważ właśnie ten element środowiska bywa dla cyberprzestępców łatwiejszy do kompromitacji i eksfiltracji danych.

Analiza techniczna

Z dostępnych ustaleń wynika, że łańcuch ataku rozpoczyna się od nieokreślonego jeszcze wektora initial access. Następnie do systemu trafia fałszywy plik wykonywalny podszywający się pod narzędzie zdalnego wsparcia, którego zadaniem jest pobranie i uruchomienie loadera .NET. Dropper wykorzystuje osadzony skrypt PowerShell do utworzenia mechanizmu persistence w postaci zaplanowanego zadania.

Po uruchomieniu loader wykonuje kontrole środowiska i sprzętu, aby utrudnić analizę i ograniczyć ryzyko wykrycia. Kolejny etap obejmuje wdrożenie modułowego trojana CloudZ, który odszyfrowuje konfigurację, zestawia szyfrowane połączenie z serwerem C2 i oczekuje na polecenia zakodowane w Base64.

Zestaw funkcji CloudZ wskazuje na klasyczną architekturę RAT. Malware obsługuje rozpoznanie systemu, wykonywanie poleceń, eksfiltrację danych przeglądarek, zarządzanie plikami, nagrywanie ekranu oraz ładowanie dodatkowych pluginów.

Najważniejszym komponentem kampanii jest jednak moduł Pheno. Wtyczka monitoruje procesy powiązane z Phone Link, sprawdza, czy aplikacja jest aktywna i czy na komputerze znajdują się zsynchronizowane dane telefonu. Następnie zapisuje wyniki rekonesansu do katalogu roboczego, skąd mogą zostać odczytane przez CloudZ i przesłane do infrastruktury sterującej. Opisy badaczy sugerują również próbę uzyskania dostępu do lokalnej bazy SQLite wykorzystywanej przez aplikację do przechowywania zsynchronizowanych danych.

Techniczna waga tego scenariusza wynika z kilku czynników. Atak wykorzystuje legalny kanał synchronizacji, nie wymaga łamania zabezpieczeń samego telefonu i pozwala odczytywać dane w środowisku, które z perspektywy operatora malware jest prostsze do monitorowania i okradania. To szczególnie niebezpieczne tam, gdzie drugi składnik uwierzytelniania nadal opiera się na wiadomościach SMS.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest możliwość przejęcia poświadczeń oraz jednorazowych kodów uwierzytelniających bez infekowania smartfona. W praktyce znacząco obniża to próg trudności dla atakujących, ponieważ wystarczy skuteczna kompromitacja komputera z aktywną synchronizacją telefonu.

Ryzyko jest szczególnie wysokie w środowiskach firmowych, gdzie użytkownicy łączą prywatne lub służbowe telefony z komputerami organizacji. Na jednym hoście mogą wtedy współistnieć dane biznesowe, zapisane hasła, aktywne sesje przeglądarek i zsynchronizowane komunikaty z telefonu. Taka koncentracja informacji zwiększa szanse na skuteczne przejęcie kont i dalszą eskalację ataku.

Dodatkowym problemem pozostaje wykrywalność. Aktywność związana z Phone Link może wyglądać na legalną, a eksfiltracja może dotyczyć artefaktów tworzonych przez prawidłowo zainstalowaną aplikację systemową. Jeśli organizacja nie monitoruje dostępu do lokalnych baz danych aplikacji, katalogów stagingowych, zaplanowanych zadań i nietypowych połączeń wychodzących, kampania może przez pewien czas pozostać niezauważona.

Rekomendacje

Organizacje powinny ocenić, czy korzystanie z Microsoft Phone Link jest zgodne z polityką bezpieczeństwa i faktyczną potrzebą biznesową. W środowiskach o podwyższonych wymaganiach warto rozważyć ograniczenie lub całkowite wyłączenie synchronizacji telefonu z komputerem, zwłaszcza na stacjach uprzywilejowanych i systemach administracyjnych.

Z perspektywy obrony operacyjnej warto wdrożyć następujące działania:

  • monitorowanie tworzenia i modyfikacji zaplanowanych zadań uruchamiających nietypowe loadery lub skrypty PowerShell,
  • wykrywanie plików wykonywalnych podszywających się pod legalne narzędzia zdalnego wsparcia,
  • analizę procesów .NET uruchamianych z niestandardowych lokalizacji,
  • kontrolę dostępu do katalogów roboczych wykorzystywanych do stagingu danych,
  • monitorowanie odczytu lokalnych baz SQLite i innych artefaktów aplikacji synchronizujących dane mobilne,
  • inspekcję połączeń wychodzących do infrastruktury C2 oraz anomalii wskazujących na eksfiltrację,
  • wdrożenie zasad application control i ograniczeń uruchamiania nieautoryzowanych binariów.

W obszarze tożsamości i MFA zalecane jest odchodzenie od kodów OTP przesyłanych przez SMS na rzecz odporniejszych metod, takich jak aplikacje uwierzytelniające generujące kody lokalnie, mechanizmy push z oceną kontekstu lub klucze sprzętowe zgodne z FIDO2. Jeśli organizacja nadal korzysta z SMS-ów, stacje robocze z aktywną synchronizacją telefonu powinny być traktowane jak systemy przetwarzające dane uwierzytelniające i odpowiednio zabezpieczone.

Warto również uwzględnić ten scenariusz w działaniach threat huntingowych. Poszukiwane artefakty to między innymi nietypowe procesy powiązane z Phone Link, odwołania do nazw procesów historycznie związanych z aplikacją, komendy służące do eksfiltracji danych przeglądarki i telefonu oraz obecność dodatkowych pluginów ładowanych przez RAT.

Podsumowanie

Kampania z użyciem CloudZ RAT i wtyczki Pheno pokazuje, że integracja Windows ze smartfonem może zostać przekształcona w skuteczny kanał pozyskiwania danych uwierzytelniających i kodów OTP. Najważniejsza innowacja operatorów nie polega na przełamaniu zabezpieczeń telefonu, lecz na wykorzystaniu danych już zsynchronizowanych na komputerze ofiary.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona MFA nie może ograniczać się wyłącznie do aplikacji mobilnej lub dostawcy tożsamości. Równie istotna staje się ochrona hostów końcowych, na których dane z telefonu są buforowane, przetwarzane i potencjalnie przejmowane przez malware.

Źródła