CloudZ RAT koristi Microsoft Phone Link za krađenje SMS poruka i OTP kodova
Novo malware CloudZ sa pluginom Pheno iskorišćava Microsoft Phone Link da presreće SMS poruke i OTP kodove sa mobilnih telefona.
Šta se desilo?
Bezbednosni istraživači iz Cisco Talos otkrili su novu opasnost - remote access tool nazvan CloudZ koji se koristi zajedno sa skrivenim pluginom Pheno da presreće SMS poruke i jednokratne šifrarske kodove (OTP) sa mobilnih telefona. Napadač nikada ne dira sam telefon, već iskorišćava zakonitu konekciju između Windows računara i parovanog pametnog telefona kroz Microsoft Phone Link aplikaciju.
Koga pogađa?
Uglavnom korisnike Microsoft Phone Link aplikacije na Windows računarima, posebno ljude koji koriste ovu funkcionalnost za sinhronizaciju poruka i notifikacija sa mobilnog telefona. Kampanja je aktivna bar od januara 2026. godine i ciljana je na bilo koga ko koristi legitimne Windows funkcionalnosti, što čini njene potencijalne žrtve veoma širok krug korisnika.
Kako se zaštititi?
- Redovno ažurirajte Windows i sve aplikacije na najnovije verzije
- Pazite na osumnjive datoteke koje izgledaju kao ažuriranja za remote support alate
- Koristite pouzdane antivirusne rešenje sa realnom zaštitom
- Ograničite pristup Microsoft Phone Link funkcionalnosti samo kada je to neopodno
- Pratite ponašanje procesa na vašem računaru - CloudZ ima karakteristične znakove detekcije
- Koristite jaku autentifikaciju umesto samo OTP kodova gde je moguće
Tehnički detalji
CloudZ je .NET loader koji se rasprostranuje kroz lazne ažuriranjske datoteke za ScreenConnect aplikaciju. Alat poseduje napredne anti-analitičke mehanizme - proverava da li se izvršava u test okruženju, skenira za analitičke alate (Wireshark, Fiddler, Procmon, Sysmon) i generiše osetljive funkcije u operativnoj memoriji. Pheno plugin specifično iskorišćava Microsoft Phone Link most između računara i telefona kako bi pristupio SMS porurama i notifikacijama koje nikada ne bi trebale napustiti mobilni uređaj.
Preporuka Sajber Radara
Ova kampanja pokazuje koliko su teške nove vrste napada - napadači više ne moraju da hakuju vaš telefon direktno, već iskorišćavaju legitimne alate na vašem računaru. Biti vigiljantan prema neočekivanim ažuranjima i razmotriti da li stvarno trebate omogućiti Phone Link funkcionalnost je prvi korak zaštite.
