Выяснилось, что привычка упрощать себе жизнь внезапно сыграла на руку злоумышленникам.
Злоумышленникам всё чаще даже не нужно заражать смартфон, чтобы добраться до сообщений с одноразовыми кодами входа. Достаточно найти слабое место в связке телефона и компьютера. Cisco Talos описала атаку, в которой вредонос CloudZ RAT использовал приложение Microsoft Phone Link («Связь с телефоном») и новый модуль Pheno, чтобы потенциально перехватывать SMS, уведомления и одноразовые пароли.
По данным экспертов Talos, вредоносная кампания стартовала не позднее января этого года. Начальный способ проникновения пока не установлен, но на заражённых системах запускался поддельный установщик обновления ScreenConnect. После запуска вредоносный файл загружал промежуточный .NET-загрузчик, а тот разворачивал модульный CloudZ RAT.
Phone Link встроен в Windows 10 и Windows 11 и помогает синхронизировать компьютер со смартфоном. Приложение показывает на ПК уведомления, SMS, историю звонков и другие данные телефона. Синхронизированная информация хранится на компьютере в базе SQLite, включая файлы вида PhoneExperiences-.db. Именно к такой схеме и попытались подобраться атакующие.
Модуль Pheno проверял, работает ли на машине связка Phone Link. Для этого он искал процессы с названиями YourPhone, PhoneExperienceHost и Link to Windows, затем записывал найденные идентификаторы и пути к файлам в служебные каталоги. Дополнительная проверка искала признак proxy, связанный с локальным каналом, через который Phone Link передаёт данные между ПК и телефоном. При совпадении модуль помечал сессию как потенциально активную.
Не спрашивайте почему мы в MAX.
CloudZ RAT мог забирать результаты работы Pheno из промежуточной папки и отправлять данные на управляющий сервер. Cisco Talos связывает такую активность с попыткой украсть учётные данные и, возможно, одноразовые коды из SMS или уведомлений приложений-аутентификаторов. При этом вредонос не требовал установки отдельного приложения на смартфон.
Загрузчик, найденный Cisco Talos, был написан на Rust и маскировался под файлы systemupdates.exe или Windows-interactive-update.exe. Для закрепления в системе он создавал задачу Windows SystemWindowsApis, запускал .NET-компонент через regasm.exe и переживал перезагрузку. Перед запуском CloudZ проверял среду на признаки анализа, искал Wireshark, Fiddler, Procmon, Sysmon, виртуальные машины и песочницы.
Сам CloudZ хранит конфигурацию в зашифрованном виде, расшифровывает её в памяти и подключается к управляющему серверу через TCP. Вредонос поддерживает команды для сбора данных о системе, выполнения команд оболочки, кражи браузерных данных, записи экрана, загрузки модулей и управления файлами. Для получения компонентов он использует curl, PowerShell или bitsadmin, что помогает работать даже при отсутствии части инструментов.
Cisco Talos добавила детектирование угрозы в ClamAV и Snort, а индикаторы компрометации опубликовала в своём GitHub-репозитории. Подобные инфостилеры, нацеленные на кражу браузерных данных и учётных записей, в последнее время становятся всё более изощрёнными.