Bakın, başka bir gün, başka bir zararlı yazılım hayatımızı zorlaştırmanın bir yolunu bulmuş. Bu sefer, kötü bir yükseltme alan CloudZ uzaktan erişim aracı (RAT). Pheno adında yeni bir eklenti eklemişler ve bu eklenti… neyse, inanılmaz derecede can sıkıcı ve potansiyel olarak zararlı bir şey yapıyor. Telefonunuzu ve bilgisayarınızı uyumlu hale getirmesi gereken Microsoft’un Phone Link uygulamasına yaslanıyor. Bunun yerine Pheno, bu bağlantıyı hassas mesajları, özellikle de tek seferlik şifreleri (OTP’ler) ve metin mesajlarını, mobil cihazınıza aslında dokunmadan yudumlamak için kullanıyor.
Bu teorik bir tehdit değil; Cisco Talos araştırmacıları bugün itibarıyla, Ocak ayından beri sessizce ilerleyen bir saldırının detaylarını paylaştı. Amaç? Tahmin ettiğiniz gibi: kimlik bilgisi toplama ve dijital hayatımızı neredeyse yeterince güvende tutan o değerli, geçici parolaları çalmak.
Microsoft Phone Link. Muhtemelen sizde de vardır. Windows 10 ve 11’e entegre edilmiş durumda. Aramalar yapıyor, mesajlar gönderiyor, telefonunuzdan gelen bildirimler hakkında sizi uyarıyor. Kullanışlı, değil mi? Görünüşe göre, kötü niyetli aktörler için silahlandırılabilecek kadar kullanışlı. Bu zararsız görünen bağlantıyı ele geçirerek, telefonunuza ulaşan mesajları engelliyorlar. Jailbreak’e, root exploit’ine gerek yok.
Sinsi Erişim, Çalınan Sırlar
Pheno eklentisi. Bu özel korku gösterisinin yıldızı o. Cisco Talos, aktif Phone Link oturumlarını izlediğini söylüyor. Bir tane gördüğü anda, uygulamanın yerel SQLite veritabanına dalıyor. Neden mi? Çünkü o veritabanı, SMS mesajlarını ve tahmin ettiniz, OTP’leri içerebiliyor. Yani, oturum açma kodu içeren bir metin mesajı alıyorsunuz; şanssızsanız saldırgan da onu muhtemelen siz telefonunuzda görmeden önce alıyor. Sihir şurada: saldırganın telefonunuza sızmasına gerek yok; yalnızca Phone Link’in çalıştığı bilgisayarınıza sızması yeterli. Bireysel evin kilidini açmadan ortak bir posta kutusundan posta çalmak gibi bir şey.
Cisco Talos araştırmacıları, “Kurbanın makinesinde doğrulanmış bir Phone Link etkinliğiyle, CloudZ RAT kullanan saldırgan, kurbanın makinesindeki Phone Link uygulamasının SQLite veritabanı dosyasına potansiyel olarak müdahale edebilir, bu da SMS tabanlı OTP mesajlarını ve diğer kimlik doğrulama uygulama bildirim mesajlarını tehlikeye atabilir,” diyor.
Ve CloudZ’in kendisi hafif bir yazılım parçası değil. Pheno’nun telepatik mesajlaşma yeteneklerinin ötesinde, RAT tarayıcı verilerinize göz atabilir, sisteminizi profilleştirebilir ve saldırganın istediği her şeyi yapabilir: dosya yönetimi, komut çalıştırma, ekran kaydı ve genel olarak bilgisayarınızı kendi özel oyun alanına dönüştürme. Hatta kötü amaçlı HTTP trafiğini normal tarayıcı istekleri gibi göstermek için kullanıcı-aracı dizelerini döndürecek kadar zekiler ve komuta-kontrol sunucularını biraz daha zorlu hale getirmek için önbelleğe alma önleyici başlıkları var. Ne yazık ki, gelişmiş bir yöntem.
Nasıl Giriyorlar?
İlk giriş noktası neydi? Bu hala biraz muğlak – araştırmacılar tam olarak ortaya çıkaramadı. Ancak gözlemledikleri enfeksiyon zinciri, kullanıcının sahte bir ScreenConnect güncellemesine tıklamasıyla başlıyor. Bu, Rust ile yazılmış bir yükleyiciyi düşürüyor, o da .NET ile yazılmış başka bir yükleyiciyi devreye sokuyor. Nihayetinde CloudZ RAT’ı yükleyen ve kalıcılık için bir zamanlanmış görev kullanarak yerleşen .NET yükleyicisi bu. Ve analizleri engellemeye çalıştıklarından şüphe etmeyin; bu .NET yükleyicisi, sanal makineler, Wireshark ve Fiddler gibi analiz araçları için kontroller içeriyor ve hatta VM ile ilgili dizeleri arıyor. Kirli işlerinin didiklenmesini istemiyorlar.
Buna Karşı Savunabilir misiniz Gerçekten?
Cisco’nun tavsiyesi… yıllardır söylediğimiz şey. Mümkünse SMS tabanlı OTP’lerden vazgeçin. Düzgün kimlik doğrulama uygulamaları kullanın. Ve gerçekten hassas şeyler için mi? Donanım anahtarlarını düşünün. Bir mesaj gibi müdahale edilebilecek bir şeye dayanmayan şeyler… iyi, kendi meşru yazılımınızı kullanan zararlı yazılımlar tarafından.
Cisco Talos, karşılaştırma göstergeleri (IoC’ler) – engellemeniz gereken URL’ler, karmalar, alanlar ve IP’ler – hakkında yardımcı bir liste yayınladı. Yani, bir güvenlik ekibi işletiyorsanız, ona bir göz atın. Geri kalanımız için, saldırı yüzeyinin yalnızca internet olmadığını; kendi makinelerimizde etkinleştirdiğimiz kullanışlı özellikler olduğunu hatırlatan bir başka şey.
Bu Phone Link istismarı, klasik bir Silikon Vadisi hamlesi gibi hissettiriyor: işleri kolaylaştırmak için bir özellik oluşturmak ve sonra birinin onu nasıl bozacağını öğrenmesini beklemek. Burada kim para kazanıyor? Açıkça zararlı yazılım yazarları. Ve belki Microsoft işletim sistemi lisansından biraz para kazanıyor, ama muhtemelen şimdi bu sonuçlarla uğraşmak için daha fazlasını harcıyorlar. Kullanıcılar mı? Sadece banka hesaplarının boşaltılmasını önlemeye çalışıyorlar çünkü telefonları dizüstü bilgisayarlarıyla sohbet etmeye karar verdi.
Bu sadece CloudZ hakkında değil; talep ettiğimiz cihazlar arasındaki bağlantılılık hakkında. Cihazlarımızı ne kadar çok bağlarsak, Pheno gibi tehditlerin bu köprüleri istismar etmesi için o kadar çok fırsat yaratırız.
--- ### 🧬 İlgili İçgörüler - **Daha fazla oku:** [CanisterWorm: Siber Suçlular Bulut Veri Soygunları İçin İran Gerilimlerini Kullanıyor](https://threatdigest.io/article/canisterworm-cybercrooks-hijack-iran-tensions-for-cloud-data-heists/) - **Daha fazla oku:** [Siber Sigorta Rehberi: İşletmelerin Poliçe Hakkında Bilmesi Gerekenler](https://threatdigest.io/article/cyber-insurance-guide-what-businesses-need-to-know-about-coverage/) Sıkça Sorulan Sorular
Pheno eklentisi ne yapar? Pheno, CloudZ RAT için Microsoft Phone Link etkinliğini izleyen ve kurbanın bilgisayarından SMS mesajlarını ve tek seferlik şifreleri (OTP’ler) çalmak için yerel veritabanına erişen bir eklentidir.
Bu benim iPhone’umu etkiler mi? Microsoft Phone Link iOS’u desteklese de, Cisco Talos raporu özellikle SMS mesajlarını ve OTP’leri engelleme yeteneğinden bahsediyor; bunlar Android cihazlar ve Windows entegrasyonları için daha yaygın. Vurgulanan birincil risk, Windows makinelerine bağlı Android telefon kullanıcıları için.
SMS OTP hırsızlığından korunmanın en iyi yolu nedir? Güvenlik araştırmacıları, kritik hesaplar için SMS tabanlı OTP’lerden uzaklaşmayı şiddetle tavsiye ediyor. Bunun yerine, Google Authenticator veya Authy gibi özel kimlik doğrulama uygulamaları kullanın veya daha iyi güvenlik için donanım güvenlik anahtarları (örneğin YubiKey) gibi kimlik avına dayanıklı yöntemleri düşünün. CloudZ kötü amaçlı yazılımının Phone Link istismarı, SMS OTP’lerini daha da riskli hale getiriyor.
