Вредоносная программа CloudZ использует Microsoft Phone Link для кражи СМС и одноразовых паролей

Троян CloudZ использует ранее неизвестный вредоносный плагин под названием Pheno, который перехватывает соединение Microsoft Phone Link для кражи конфиденциального кода с мобильных устройств, пишет ZDNet со ссылкой на исследователей Cisco Talos. Эта кампания активна минимум с января 2026 года, целью злоумышленников была кража учётных данных и временных паролей.

Приложение Phone Link предустановлено в Windows 10 и Windows 11. Сервис позволяет использовать ПК для совершения и приёма звонков, ответа на текстовые сообщения или просмотра уведомлений, приходящих на мобильное устройство под управлением Android и iOS.

CloudZ — это модульный троян удалённого доступа (RAT), скомпилированный как исполняемый файл .NET и оснащённый рядом средств защиты от анализа и реверс-инжиниринга, включая обфускацию и обнаружение отладчиков и профилировщиков в своей среде.

В Cisco Talos указывают, что Pheno отслеживает активные сеансы Phone Link и обращается к локальной базе данных SQLite, которая может содержать СМС и одноразовые пароли. Это позволяет злоумышленнику получить доступ к конфиденциальной информации без необходимости компрометации мобильного устройства.

Помимо предоставляемых Pheno возможностей, CloudZ может нацеливаться на данные, хранящиеся в браузерах, профилировать хост системы и выполнять команды для:

Операций по управлению файлами (удаление, загрузка и запись)

Выполнения системных команд

Записи экрана

Управления плагинами (загрузка, удаление, сохранение на накопитель) 

Завершения процесса RAT

По данным исследователей, CloudZ использует три жёстко закодированные строки user-gent, чтобы HTTP-трафик выглядел как легитимные запросы браузера. Каждый HTTP-запрос включает заголовки, препятствующие кэшированию, чтобы прокси-серверы и CDN не