Uma nova versão da ferramenta de acesso remoto CloudZ, classificada como RAT, está distribuindo um plugin malicioso até então não observado, chamado Pheno.
O componente sequestra a conexão do Microsoft Phone Link para roubar códigos sensíveis de dispositivos móveis.
O malware foi identificado em uma invasão ativa desde pelo menos janeiro, e os pesquisadores acreditam que o objetivo do threat actor era furtar credenciais e códigos de uso temporário.
O Microsoft Phone Link vem instalado no Windows 10 e no Windows 11.
O recurso permite usar o computador para fazer e receber chamadas, responder a mensagens de texto e visualizar notificações recebidas no dispositivo móvel, seja Android ou iOS.
Ao explorar o aplicativo, o threat actor consegue interceptar mensagens sensíveis entregues ao celular da vítima sem precisar comprometer o dispositivo.
Pesquisadores da Cisco Talos informaram em relatório divulgado hoje que o Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados local em SQLite, que pode conter SMS e códigos de uso único, os OTPs.
Isso dá ao atacante acesso a informações sensíveis sem a necessidade de invadir o celular.
“Com uma atividade confirmada do Phone Link na máquina da vítima, o atacante que usa o CloudZ RAT pode potencialmente interceptar o arquivo de banco de dados SQLite do aplicativo Phone Link na máquina da vítima, comprometendo possivelmente mensagens OTP baseadas em SMS e outras mensagens de notificação de aplicativos autenticadores”, explicam os pesquisadores da Cisco Talos.
Além das capacidades presentes no plugin Pheno, o CloudZ também consegue atingir dados armazenados em navegadores, perfis de sistemas hospedeiros e executar comandos para:
• operações de gerenciamento de arquivos, como excluir, baixar e gravar
• execução de comandos de shell
• início de gravação de tela
• gerenciamento de plugins, incluindo carregar, remover e salvar em disco
• encerramento do processo do RAT
A Cisco afirma que o CloudZ alterna entre três cadeias hardcoded de user-agent para fazer o tráfego HTTP parecer solicitações legítimas de navegador.
Cada requisição HTTP inclui cabeçalhos anti-cache para impedir que proxies e CDNs armazenem em cache detalhes do C2 ou do servidor de estágio.
Os pesquisadores ainda não identificaram o vetor de acesso inicial, mas descobriram que a infecção começa quando a vítima executa uma falsa atualização do ScreenConnect, que baixa um loader baseado em Rust.
Em seguida, ocorre a implantação de um loader em .NET, que instala o CloudZ RAT e estabelece persistência por meio de uma tarefa agendada.
O loader em .NET também inclui verificações contra análise, como etapas de evasão de sandbox baseadas em tempo, checagens de ferramentas de análise como Wireshark, Fiddler, Procmon e Sysmon, além de buscas por strings associadas a máquinas virtuais e sandbox.
Para se proteger desse tipo de ataque, usuários devem evitar serviços de OTP baseados em SMS e usar aplicativos autenticadores que não dependam de notificações por push, que podem ser interceptadas.
Para informações mais sensíveis, a recomendação é migrar para soluções resistentes a phishing, como chaves de hardware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...