2026-05-06 00:00
← VoltarPesquisadores de segurança cibernética divulgaram detalhes de uma intrusão que envolveu o uso de uma ferramenta de acesso remoto (RAT) CloudZ e um plugin anterior não documentado chamado Pheno com o objetivo de facilitar o roubo de credenciais. “De acordo com as funcionalidades do plugin CloudZ RAT e Pheno, isso foi com a intenção de roubar as credenciais das vítimas e potencialmente senhas de uso único (OTPs)”, disseram os pesquisadores do Cisco Talos, Alex Karkins e Chetan Raghuprasad, em uma análise de terça-feira. O que torna o ataque novo é que o CloudZ usa o plug-in Pheno personalizado para sequestrar a ponte estabelecida entre PC e telefone, abusando do aplicativo Microsoft Phone Link, permitindo que o plug-in monitore processos ativos do Phone Link e potencialmente intercepte dados móveis confidenciais, como SMS e senhas de uso único (OTPs), sem a necessidade de implantar malware no telefone. As descobertas demonstram como os recursos legítimos de sincronização entre dispositivos podem expor caminhos de ataque não intencionais ao roubo de credenciais e ajudar a contornar a autenticação de dois fatores. Além do mais, evita a necessidade de comprometer o próprio dispositivo móvel. O malware, de acordo com a empresa de segurança cibernética, foi utilizado como parte de uma intrusão que está ativa desde pelo menos janeiro de 2026. A atividade não foi atribuída a nenhum ator ou grupo de ameaça conhecido. Integrado ao Windows 10 e Windows 11, o Phone Link oferece aos...
Pesquisadores de segurança cibernética divulgaram detalhes de uma intrusão que envolveu o uso de uma ferramenta de acesso remoto (RAT) CloudZ e um plugin anterior não documentado chamado Pheno com o objetivo de facilitar o roubo de credenciais. “De acordo com as funcionalidades do plugin CloudZ RAT e Pheno, isso foi com a intenção de roubar as credenciais das vítimas e potencialmente senhas de uso único (OTPs)”, disseram os pesquisadores do Cisco Talos, Alex Karkins e Chetan Raghuprasad, em uma análise de terça-feira. O que torna o ataque novo é que o CloudZ usa o plug-in Pheno personalizado para sequestrar a ponte estabelecida entre PC e telefone, abusando do aplicativo Microsoft Phone Link, permitindo que o plug-in monitore processos ativos do Phone Link e potencialmente intercepte dados móveis confidenciais, como SMS e senhas de uso único (OTPs), sem a necessidade de implantar malware no telefone. As descobertas demonstram como os recursos legítimos de sincronização entre dispositivos podem expor caminhos de ataque não intencionais ao roubo de credenciais e ajudar a contornar a autenticação de dois fatores. Além do mais, evita a necessidade de comprometer o próprio dispositivo móvel. O malware, de acordo com a empresa de segurança cibernética, foi utilizado como parte de uma intrusão que está ativa desde pelo menos janeiro de 2026. A atividade não foi atribuída a nenhum ator ou grupo de ameaça conhecido. Integrado ao Windows 10 e Windows 11, o Phone Link oferece aos usuários uma maneira de emparelhar seu computador com um dispositivo Android ou iPhone por Wi-Fi e Bluetooth, permitindo que os usuários façam ou recebam chamadas, enviem mensagens e ignorem notificações.
Foram observados agentes de ameaças desconhecidos tentando aproveitar o aplicativo usando CloudZ RAT e Pheno para confirmar a atividade do Phone Link em um ambiente de vítima e, em seguida, acessar o arquivo de banco de dados SQLite usado pelo programa para armazenar os dados sincronizados do telefone. Diz-se que a cadeia de ataque empregou um método de acesso inicial ainda indeterminado para obter uma posição segura e descartar um executável falso do ConnectWise ScreenConnect, responsável por baixar e executar um carregador .NET. O conta-gotas inicial também usa um script PowerShell incorporado para estabelecer persistência configurando uma tarefa agendada que executa o carregador .NET malicioso. O carregador intermediário foi projetado para executar verificações de hardware e ambiente para evitar a detecção e implantar o trojan modular CloudZ na máquina. Uma vez executado, o trojan compilado em .NET descriptografa uma configuração incorporada, estabelece uma conexão de soquete criptografada com o servidor de comando e controle (C2) e aguarda instruções codificadas em Base64 que permitem exfiltrar credenciais e implantar plug-ins adicionais. Alguns dos comandos suportados pelo CloudZ incluem: “O invasor usou um plugin chamado Pheno para realizar o reconhecimento do aplicativo Windows Phone Link na máquina da vítima”, disse Talos. "O plug-in realiza o reconhecimento do aplicativo Microsoft Phone Link na máquina da vítima e grava os dados de reconhecimento em um arquivo de saída em uma pasta de teste. CloudZ lê os dados do aplicativo Phone Link da pasta de teste e os envia para o servidor C2." Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada.
Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.