2026-05-05 00:00
← VoltarUma nova versão da ferramenta de acesso remoto (RAT) CloudZ está implantando um plug-in malicioso inédito chamado Pheno, que sequestra a conexão do Microsoft Phone Link para roubar códigos confidenciais de dispositivos móveis. O malware foi descoberto em uma intrusão que estava ativa pelo menos desde janeiro e os pesquisadores acreditam que o objetivo do agente da ameaça era roubar credenciais e senhas temporárias. O Microsoft Phone Link vem instalado no Windows 10 e 11 e permite usar o computador para fazer e receber chamadas, responder mensagens de texto ou visualizar notificações recebidas no dispositivo móvel (Android e iOS). Ao aproveitar o aplicativo, o agente da ameaça poderia interceptar mensagens confidenciais entregues ao celular do alvo sem comprometer o dispositivo. Os pesquisadores do Cisco Talos afirmam em um relatório hoje que o Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados SQLite local, que pode conter SMS e senhas de uso único (OTPs). Isso dá ao invasor acesso a informações confidenciais sem a necessidade de comprometer o dispositivo móvel. “Com uma atividade confirmada do Phone Link na máquina da vítima, o invasor que usa o CloudZ RAT pode potencialmente interceptar o arquivo de banco de dados SQLite do aplicativo Phone Link na máquina da vítima, comprometendo potencialmente as mensagens OTP baseadas em SMS e outras mensagens de notificação do aplicativo autenticador”, diz Cisco Talos. Varredura Pheno para links telefônicos ativos...
Uma nova versão da ferramenta de acesso remoto (RAT) CloudZ está implantando um plug-in malicioso inédito chamado Pheno, que sequestra a conexão do Microsoft Phone Link para roubar códigos confidenciais de dispositivos móveis. O malware foi descoberto em uma intrusão que estava ativa pelo menos desde janeiro e os pesquisadores acreditam que o objetivo do agente da ameaça era roubar credenciais e senhas temporárias. O Microsoft Phone Link vem instalado no Windows 10 e 11 e permite usar o computador para fazer e receber chamadas, responder mensagens de texto ou visualizar notificações recebidas no dispositivo móvel (Android e iOS). Ao aproveitar o aplicativo, o agente da ameaça poderia interceptar mensagens confidenciais entregues ao celular do alvo sem comprometer o dispositivo. Os pesquisadores do Cisco Talos afirmam em um relatório hoje que o Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados SQLite local, que pode conter SMS e senhas de uso único (OTPs). Isso dá ao invasor acesso a informações confidenciais sem a necessidade de comprometer o dispositivo móvel. “Com uma atividade confirmada do Phone Link na máquina da vítima, o invasor que usa o CloudZ RAT pode potencialmente interceptar o arquivo de banco de dados SQLite do aplicativo Phone Link na máquina da vítima, comprometendo potencialmente as mensagens OTP baseadas em SMS e outras mensagens de notificação do aplicativo autenticador”, diz Cisco Talos. Varredura Pheno para links telefônicos ativos Fonte: Cisco Talos Além dos recursos presentes no plug-in Pheno, CloudZ pode direcionar dados armazenados em navegadores da web, criar perfis de sistemas host e executar comandos para: Operações de gerenciamento de arquivos (excluir, baixar e gravar) Execução de comandos Shell Iniciar gravação de tela Gerenciamento de plug-ins (carregar, remover, salvar em disco) Encerrar o processo RAT A Cisco relata que CloudZ gira entre três strings de agente de usuário codificadas para fazer o tráfego HTTP aparecer como solicitações legítimas do navegador.
Cada solicitação HTTP inclui cabeçalhos anti-cache para evitar que proxies/CDNs armazenem em cache detalhes do C2 ou do servidor de teste. Os pesquisadores não identificaram o vetor de acesso inicial, mas descobriram que a infecção começa quando a vítima executa uma atualização falsa do ScreenConnect, que descarta um carregador baseado em Rust. Isto é seguido pela implantação de um carregador .NET, que instala o CloudZ RAT e estabelece persistência por meio de uma tarefa agendada. O carregador .NET também inclui verificações anti-análise, como etapas de evasão de sandbox baseadas em tempo, verificações de ferramentas de análise como Wireshark, Fiddler, Procmon e Sysmon, e verificações de strings relacionadas a VM e sandbox. O ambiente do carregador verifica Fonte: Cisco Talos Para se defender contra tais ataques, os usuários devem evitar serviços OTP baseados em SMS e usar aplicativos autenticadores que não exigem notificações push que possam ser interceptadas. O Cisco Talos publicou um conjunto de indicadores de comprometimento, incluindo URLs, hashes para componentes maliciosos, domínios e endereços IP, que os defensores podem usar para proteger seus ambientes.