Новий Android-троян CloudZ навчився зловживати функціями Microsoft Phone Link, щоб отримувати доступ до SMS і одноразових кодів без відома користувача. Це відкриває зловмисникам шлях до обходу двофакторної аутентифікації.
Нова версія інструменту віддаленого доступу CloudZ (RAT) розгортає раніше невидимий шкідливий плагін під назвою Pheno, який захоплює з’єднання Microsoft Phone Link для крадіжки конфіденційних кодів з мобільних пристроїв.
Шкідливе програмне забезпечення було виявлено під час вторгнення, яке було активним щонайменше з січня, і дослідники вважають, що метою зловмисника було викрасти облікові дані та тимчасові паролі.
Microsoft Phone Link встановлюється на Windows 10 та 11 і дозволяє використовувати комп’ютер для здійснення та прийому дзвінків, відповіді на текстові повідомлення або перегляду сповіщень, отриманих на мобільному пристрої (Android та iOS).
Використовуючи цю програму, зловмисник міг перехоплювати конфіденційні повідомлення, що надсилалися на мобільний телефон жертви, не ставлячи під загрозу сам пристрій.
Дослідники Cisco Talos стверджують, що Pheno відстежує активні сеанси Phone Link та отримує доступ до своєї локальної бази даних SQLite, яка може містити SMS та одноразові паролі (OTP).
Це надає зловмиснику доступ до конфіденційної інформації без необхідності компрометувати мобільний пристрій.
«Завдяки підтвердженій активності Phone Link на комп’ютері жертви зловмисник, який використовує CloudZ RAT, може потенційно перехопити файл бази даних SQLite програми Phone Link на комп’ютері жертви, що потенційно може призвести до порушення доступу до SMS-повідомлень з одноразовими паролями та інших сповіщень програми автентифікації», — повідомляє Cisco Talos.
Окрім можливостей, представлених у плагіні Pheno, CloudZ може передавати дані, що зберігаються у веббраузерах, створювати профілі хост-систем та виконувати команди для:
Операції керування файлами (видалення, завантаження та запис)
Виконання команди оболонки
Почати запис екрана
Керування плагінами (завантаження, видалення, збереження на диск)
Завершити процес RAT
Cisco повідомляє, що CloudZ чергує три жорстко закодовані рядки користувацького агента, щоб HTTP-трафік виглядав як легітимні запити браузера. Кожен HTTP-запит містить заголовки антикешування, щоб запобігти кешуванню проксі/CDN даних C2 або проміжних серверів.
Дослідники не визначили початковий вектор доступу, але вони виявили, що зараження починається, коли жертва виконує фальшиве оновлення ScreenConnect, яке скидає завантажувач на основі Rust. Після цього розгортається завантажувач .NET, який встановлює CloudZ RAT та встановлює персистентність за допомогою запланованого завдання.
Завантажувач .NET також включає перевірки на наявність аналізу, такі як кроки уникнення пісочниці на основі часу, перевірки на наявність інструментів аналізу, таких як Wireshark, Fiddler, Procmon та Sysmon, а також перевірки на наявність рядків, пов’язаних з віртуальною машиною та пісочницею.
Щоб захиститися від таких атак, користувачам слід уникати сервісів OTP на основі SMS та використовувати програми для автентифікації, які не потребують push-сповіщень, що можуть бути перехоплені. Для більш конфіденційної інформації рекомендується перейти на використання рішень, стійких до фішингу, таких як апаратні ключі.
Cisco Talos опублікувала набір індикаторів компрометації, включаючи URL-адреси, хеші шкідливих компонентів, домени та IP-адреси, які захисники можуть використовувати для захисту своїх середовищ.
