CloudZ RAT zloupotrebljava Windows Phone Link za krađu kredencijala i OTP kodova
Cisco Talos je opisao napad u kojem se CloudZ RAT i ranije nedokumentovani Pheno plugin koriste za krađu kredencijala i potencijalno jednokratnih OTP kodova. Posebno je zanimljivo to što napadači ne moraju da kompromituju telefon direktno, već pokušavaju da iskoriste Microsoft Phone Link vezu između Windows računara i mobilnog uređaja. Pheno plugin proverava da li je Phone Link aktivan i pristupa SQLite bazi koju aplikacija koristi za sinhronizovane podatke sa telefona, uključujući SMS i obaveštenja. Lanac napada uključuje lažni ConnectWise ScreenConnect izvršni fajl, .NET loader, persistence kroz scheduled task, modularni CloudZ trojan i dodatne pluginove za krađu podataka, snimanje ekrana i izvršavanje komandi.
Funkcije koje povezuju računar i telefon korisne su upravo zato što prebacuju poruke, pozive i obaveštenja u radno okruženje. Ista ta udobnost stvara novi put do OTP kodova i mobilnih poruka: napadaču više nije neophodno da zarazi telefon ako može da kompromituje računar koji već ima uspostavljenu Phone Link vezu.
- Proveriti da li je Microsoft Phone Link potreban u poslovnom okruženju i ograničiti ga tamo gde nema jasnu poslovnu svrhu
- Pratiti pristup Phone Link SQLite bazama, staging folderima i neuobičajenim fajlovima u C:\ProgramData\Microsoft\whealth\
- Detektovati lažne ili neočekivane ConnectWise ScreenConnect instalacije, .NET loader-e i scheduled task persistence
- Ne oslanjati se samo na SMS OTP kao drugi faktor za naloge visokog rizika
- Uvesti phishing-resistant MFA gde je moguće, posebno za administratore, VPN, email i poslovne aplikacije