Ну вот, очередной день — очередной вредоносный код, усложняющий нам жизнь. На этот раз отличился инструмент удалённого доступа (RAT) CloudZ, получивший весьма неприятное обновление. Его дополнили новым плагином под названием Pheno, который делает кое-что… ну, крайне раздражающее и потенциально опасное. Он использует приложение Microsoft Phone Link, которое, как вы знаете, призвано налаживать связь между вашим телефоном и компьютером. Вместо этого Pheno использует это соединение для выкачивания конфиденциальных сообщений, в частности одноразовых паролей (OTP) и обычных SMS, при этом даже не прикасаясь к вашему мобильному устройству.
Это не просто теоретическая угроза; исследователи Cisco Talos поделились информацией сегодня, подробно описав атаку, которая незаметно ведётся с января. Цель? Вполне предсказуемая: сбор учётных данных и кража этих драгоценных, эфемерных кодов, которые делают нашу цифровую жизнь достаточно безопасной.
Microsoft Phone Link. Скорее всего, он у вас есть. Он встроен в Windows 10 и 11. Позволяет звонить, отправлять SMS, оповещает о уведомлениях с телефона. Удобно, правда? Очевидно, настолько удобно, что злоумышленники смогли его использовать в своих целях. Захватив эту, казалось бы, безобидную связь, они перехватывают сообщения, предназначенные для вашего телефона. Никакого джейлбрейка или эксплойтов root не требуется.
Хитрый доступ, украденные секреты
Плагин Pheno. Он — звезда этого конкретного хоррора. Cisco Talos сообщает, что он отслеживает активные сессии Phone Link. Обнаружив такую, он проникает в локальную базу данных SQLite этого приложения. Зачем? Потому что эта база данных, оказывается, может содержать SMS-сообщения и, угадали, OTP. Таким образом, вы получаете SMS с кодом для входа, а атакующий, если вам не повезёт стать целью, получает его тоже, вероятно, ещё до того, как вы увидите его на своём телефоне. Хитрость в том, что атакующему не нужно взламывать ваш телефон; ему достаточно взломать компьютер, на котором запущен Phone Link. Это как красть почту из общего ящика, не взламывая замок конкретного дома.
«При подтверждённой активности Phone Link на машине жертвы, атакующий, использующий CloudZ RAT, потенциально может перехватить файл базы данных SQLite приложения Phone Link на машине жертвы, что потенциально компрометирует SMS- OTP сообщения и другие сообщения уведомлений приложений-аутентификаторов», — объясняют исследователи Cisco Talos.
А сам CloudZ — это не самая легковесная программа. Помимо телепатических возможностей Pheno, RAT может копаться в данных вашего браузера, собирать информацию о системе и делать практически всё, что захочет атакующий: управлять файлами, выполнять команды, записывать экран и, в общем, превращать ваш компьютер в свою личную игровую площадку. Они даже достаточно умны, чтобы менять строки user-agent, чтобы их вредоносный HTTP-трафик выглядел как обычные запросы браузера, и используют заголовки, предотвращающие кэширование, чтобы их серверы управления и контроля были менее заметны. Довольно изощрённо, к сожалению.
Как они проникают?
Первоначальная точка входа? Тут пока всё не очень ясно — исследователи не смогли её точно установить. Но наблюдаемая ими цепочка заражения начинается с того, что пользователь кликает по тому, что выглядит как поддельное обновление ScreenConnect. Это приводит к загрузке загрузчика, написанного на Rust, который затем разворачивает другой загрузчик, написанный на .NET. Именно этот .NET-загрузчик в конечном итоге устанавливает CloudZ RAT и начинает работу, используя запланированную задачу для обеспечения постоянства. И не думайте, что они не пытаются противостоять анализу; этот .NET-загрузчик проверяет наличие песочниц, инструментов анализа, таких как Wireshark и Fiddler, и даже ищет строки, связанные с виртуальными машинами. Они не хотят, чтобы их грязная работа была разобрана.
Можно ли вообще от этого защититься?
Совет Cisco здесь… ну, это то, о чём мы говорим уже много лет. Откажитесь от SMS-OTP, если можете. Используйте полноценные приложения-аутентификаторы. А для действительно конфиденциальных вещей? Подумайте об аппаратных ключах. Тех, которые не полагаются на сообщение, которое может быть перехвачено… ну, вредоносным ПО, использующим ваше собственное легитимное программное обеспечение.
Cisco Talos любезно предоставила список индикаторов компрометации (IoC) — URL-адреса, хеши, домены и IP-адреса, которые вам нужно заблокировать. Так что, если у вас есть команда по безопасности, ознакомьтесь с ним. Для остальных это ещё одно напоминание о том, что поверхность атаки — это не только интернет; это также удобные функции, которые мы включаем на своих машинах.
Всё это злоупотребление Phone Link кажется классическим ходом Кремниевой долины: создать функцию для упрощения вещей, а затем дождаться, пока кто-нибудь не придумает, как её сломать. Кто на этом зарабатывает? Авторы вредоносного ПО, очевидно. И, возможно, Microsoft зарабатывает немного денег на лицензии ОС, но они, вероятно, тратят больше на устранение последствий. Пользователи? Они просто пытаются избежать опустошения своих банковских счетов, потому что их телефон решил поболтать с ноутбуком.
Речь идёт не только о CloudZ; речь идёт о требуемой нами взаимосвязанности. Чем больше мы связываем наши устройства, тем больше возможностей мы создаём для угроз, подобных Pheno, для эксплуатации этих мостов.
--- ### 🧬 Связанные аналитические материалы - **Читайте также:** [CanisterWorm: Киберпреступники используют напряжённость в Иране для кражи облачных данных](https://threatdigest.io/article/canisterworm-cybercrooks-hijack-iran-tensions-for-cloud-data-heists/) - **Читайте также:** [Руководство по киберстрахованию: что нужно знать бизнесу о покрытии](https://threatdigest.io/article/cyber-insurance-guide-what-businesses-need-to-know-about-coverage/) Часто задаваемые вопросы
Что делает плагин Pheno? Pheno — это плагин для CloudZ RAT, который отслеживает активность Microsoft Phone Link и обращается к его локальной базе данных для кражи SMS-сообщений и одноразовых паролей (OTP) с компьютера жертвы.
Повлияет ли это на мой iPhone? Хотя Microsoft Phone Link поддерживает iOS, отчёт Cisco Talos конкретно упоминает возможность перехвата SMS-сообщений и OTP, которые более распространены для устройств Android и интеграции с Windows. Основной риск, на который указывается, касается пользователей телефонов Android, подключённых к компьютерам с Windows.
Какой лучший способ защититься от кражи SMS OTP? Специалисты по безопасности настоятельно рекомендуют отказаться от SMS-OTP для критически важных учётных записей. Вместо этого используйте специальные приложения-аутентификаторы, такие как Google Authenticator или Authy, или рассмотрите фишингоустойчивые методы, такие как аппаратные ключи безопасности (например, YubiKey) для повышения безопасности. Эксплуатация Phone Link вредоносным ПО CloudZ делает SMS-OTP ещё более рискованными.
