Cybersecurity-onderzoekers hebben details bekendgemaakt van een inbraak waarbij gebruik werd gemaakt van een CloudZ remote access tool (RAT) en een eerdere ongedocumenteerde plug-in genaamd Pheno met als doel diefstal van inloggegevens te vergemakkelijken.
“Volgens de functionaliteiten van de CloudZ RAT- en Pheno-plug-in was dit met de bedoeling de inloggegevens van slachtoffers en mogelijk eenmalige wachtwoorden (OTP’s) te stelen”, zeiden Cisco Talos-onderzoekers Alex Karkins en Chetan Raghuprasad in een analyse van dinsdag.
Wat de aanval nieuw maakt, is dat CloudZ de aangepaste Pheno-plug-in gebruikt om de gevestigde pc-naar-telefoon-brug te kapen door misbruik te maken van de Microsoft Phone Link-applicatie, waardoor de plug-in kan monitoren op actieve Phone Link-processen en mogelijk gevoelige mobiele gegevens zoals sms en eenmalige wachtwoorden (OTP’s) kan onderscheppen zonder dat er malware op de telefoon hoeft te worden ingezet.
De bevindingen laten zien hoe legitieme synchronisatiefuncties tussen apparaten onbedoelde aanvalsroutes kunnen blootleggen aan diefstal van inloggegevens en kunnen helpen om tweefactorauthenticatie te omzeilen. Bovendien vermijdt het de noodzaak om het mobiele apparaat zelf in gevaar te brengen.
De malware is volgens het cyberbeveiligingsbedrijf gebruikt als onderdeel van een inbraak die al sinds januari 2026 actief is. De activiteit is niet toegeschreven aan een bekende dreigingsactoren of -groep.
Phone Link is ingebouwd in Windows 10 en Windows 11 en biedt gebruikers een manier om hun computer via Wi-Fi en Bluetooth te koppelen aan een Android-apparaat of iPhone, zodat gebruikers kunnen bellen of gebeld worden, berichten kunnen verzenden en meldingen kunnen negeren.
Er zijn onbekende bedreigingsactoren waargenomen die probeerden de applicatie te gebruiken met behulp van CloudZ RAT en Pheno om Phone Link-activiteit in een slachtofferomgeving te bevestigen en vervolgens toegang te krijgen tot het SQLite-databasebestand dat door het programma wordt gebruikt om de gesynchroniseerde telefoongegevens op te slaan.
De aanvalsketen zou een nog onbepaalde initiële toegangsmethode hebben gebruikt om voet aan de grond te krijgen en een nep uitvoerbaar ConnectWise ScreenConnect-bestand te droppen dat verantwoordelijk is voor het downloaden en uitvoeren van een .NET-lader. De initiële dropper maakt ook gebruik van een ingebed PowerShell-script om persistentie tot stand te brengen door een geplande taak in te stellen die de kwaadaardige .NET-lader uitvoert.
De tussenlader is ontworpen om hardware- en omgevingscontroles uit te voeren om detectie te omzeilen en de modulaire CloudZ-trojan op de machine te implementeren. Eenmaal uitgevoerd, decodeert de met .NET gecompileerde trojan een ingebedde configuratie, brengt een gecodeerde socketverbinding tot stand met de command-and-control (C2)-server en wacht op Base64-gecodeerde instructies waarmee de inloggegevens kunnen worden geëxfiltreerd en aanvullende plug-ins kunnen worden geïmplanteerd.
Enkele van de opdrachten die door CloudZ worden ondersteund, zijn onder meer:
- pong, om hartslagreacties te verzenden
- PING!, om een hartslagverzoek uit te voeren
- CLOSE, om het Trojan-proces te beëindigen
- INFO, om systeemmetagegevens te verzamelen
- RunShell, om de shell-opdracht uit te voeren
- BrowserSearch, om webbrowsergegevens te exfiltreren
- GetWidgetLog, om de logbestanden en gegevens van Phone Link te exfiltreren
- plug-in, om een plug-in te laden
- savePlugin, om een plug-in op schijf op te slaan in de staging-map (“C:ProgramDataMicrosoftwhealth”)
- sendPlugin, om een plug-in naar de C2-server te uploaden
- RemovePlugins, om alle geïmplementeerde plug-inmodules te verwijderen
- Herstel, om herstel of opnieuw verbinden mogelijk te maken
- DW, om download- en bestandsschrijfbewerkingen uit te voeren
- FM, om bestandsbeheeractiviteiten uit te voeren
- Bericht, om een bericht naar de C2-server te sturen
- Fout, om fouten te melden aan de C2-server
- rec, om het scherm op te nemen
“De aanvaller gebruikte een plug-in genaamd Pheno om verkenningen uit te voeren van de Windows Phone Link-applicatie op de machine van het slachtoffer”, aldus Talos. “De plug-in voert verkenningen uit van de Microsoft Phone Link-applicatie op de slachtoffermachine en schrijft de verkenningsgegevens naar een uitvoerbestand in een staging-map. CloudZ leest de Phone Link-applicatiegegevens terug uit de staging-map en stuurt deze naar de C2-server.”
