Wed, 06 May 2026
← VoltarCybersecurity researchers have disclosed details of an intrusion that involved the use of a CloudZ remote access tool (RAT) and a previous undocumented plugin dubbed Pheno with the aim of facilitating credential theft. "According to the functionalities of the CloudZ RAT and Pheno plugin, this was with the intention of stealing victims' credentials and potentially one-time passwords (OTPs)," Cisco Talos researchers Alex Karkins and Chetan Raghuprasad said in a Tuesday analysis. What makes the att
Pesquisadores de segurança cibernética divulgaram detalhes de uma intrusão que envolveu o uso de uma ferramenta de acesso remoto (RAT) CloudZ e um plugin anterior não documentado chamado Pheno com o objetivo de facilitar o roubo de credenciais. “De acordo com as funcionalidades do plug-in CloudZ RAT e Pheno, isso foi com a intenção de roubar as credenciais das vítimas e potencialmente senhas de uso único (OTPs)”, disseram os pesquisadores do Cisco Talos, Alex Karkins e Chetan Raghuprasad, em uma análise de terça-feira. O que torna o ataque novo é que o CloudZ usa o plug-in Pheno personalizado para sequestrar a ponte estabelecida entre PC e telefone, abusando do aplicativo Microsoft Phone Link, permitindo que o plug-in monitore processos ativos do Phone Link e potencialmente intercepte dados móveis confidenciais, como SMS e senhas de uso único (OTPs), sem a necessidade de implantar malware no telefone. As descobertas demonstram como os recursos legítimos de sincronização entre dispositivos podem expor caminhos de ataque não intencionais ao roubo de credenciais e ajudar a contornar a autenticação de dois fatores.
Além do mais, evita a necessidade de comprometer o próprio dispositivo móvel. O malware, de acordo com a empresa de segurança cibernética, foi utilizado como parte de uma intrusão que está ativa desde pelo menos janeiro de 2026. A atividade não foi atribuída a nenhum ator ou grupo de ameaça conhecido. Integrado ao Windows 10 e Windows 11, o Phone Link oferece aos usuários uma maneira de emparelhar seu computador com um dispositivo Android ou iPhone por Wi-Fi e Bluetooth, permitindo que os usuários façam ou recebam chamadas, enviem mensagens e ignorem notificações.
Foram observados agentes de ameaças desconhecidos tentando aproveitar o aplicativo usando CloudZ RAT e Pheno para confirmar a atividade do Phone Link em um ambiente de vítima e, em seguida, acessar o arquivo de banco de dados SQLite usado pelo programa para armazenar os dados sincronizados do telefone. Diz-se que a cadeia de ataque empregou um método de acesso inicial ainda indeterminado para obter uma posição segura e descartar um executável falso do ConnectWise ScreenConnect, responsável por baixar e executar um carregador .NET. O conta-gotas inicial também usa um script PowerShell incorporado para estabelecer persistência configurando uma tarefa agendada que executa o carregador .NET malicioso. O carregador intermediário foi projetado para executar verificações de hardware e ambiente para evitar a detecção e implantar o trojan modular CloudZ na máquina.
Uma vez executado, o trojan compilado em .NET descriptografa uma configuração incorporada, estabelece uma conexão de soquete criptografada com o servidor de comando e controle (C2) e aguarda instruções codificadas em Base64 que permitem exfiltrar credenciais e implantar plug-ins adicionais. Alguns dos comandos suportados pelo CloudZ incluem: “O invasor usou um plugin chamado Pheno para realizar o reconhecimento do aplicativo Windows Phone Link na máquina da vítima”, disse Talos. "O plug-in realiza o reconhecimento do aplicativo Microsoft Phone Link na máquina da vítima e grava os dados de reconhecimento em um arquivo de saída em uma pasta de teste. CloudZ lê os dados do aplicativo Phone Link da pasta de teste e os envia para o servidor C2." Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada.
Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.