Een nieuwe versie van de CloudZ remote access tool (RAT) is ontdekt, die een nieuw kwaadaardig onderdeel genaamd Pheno gebruikt om Microsoft Phone Link te kapen en gevoelige codes van mobiele apparaten te stelen.

De malware werd opgemerkt in een aanval die al sinds januari actief was. Onderzoekers vermoeden dat de aanvallers het gemunt hadden op het stelen van inloggegevens en tijdelijke wachtwoorden.

Microsoft Phone Link is standaard geïnstalleerd op Windows 10 en 11, en stelt gebruikers in staat om via de computer te bellen, sms-berichten te beantwoorden en meldingen van hun mobiele apparaat te bekijken.

Door deze applicatie te misbruiken, kunnen aanvallers de gevoelige berichten van het doelwit onderscheppen zonder hun apparaat te compromitteren.

Onderzoekers van Cisco Talos melden dat Pheno actief Phone Link-sessies monitort en toegang heeft tot de lokale SQLite-database van de applicatie, die mogelijk sms-berichten en eenmalige wachtwoorden (OTP’s) bevat.

Dit stelt de aanvaller in staat om gevoelige informatie te verkrijgen zonder de mobiele telefoon zelf te compromitteren.

“Bij bevestigde Phone Link-activiteit op de computer van het slachtoffer kan de aanvaller met CloudZ RAT de SQLite-database van de applicatie op het slachtoffer’s computer onderscheppen, mogelijk SMS-gebaseerde OTP-berichten en andere meldingen van authenticatie-apps compromitteren,” aldus Cisco Talos.

Naast de mogelijkheden in de Pheno-plugin kan CloudZ ook gegevens in web browsers targeten, systemen analyseren en commando’s uitvoeren voor:

– Bestandsbeheer (verwijderen, downloaden en schrijven)
– Shell-opdrachtuitvoering
– Schermopnames starten
– Beheer van plugins (laden, verwijderen, opslaan)
– De RAT-processen beëindigen

Volgens Cisco wisselt CloudZ tussen drie vooraf ingestelde gebruikersagent-strings om HTTP-verkeer als legitieme browserverzoeken te laten lijken. Elke HTTP-aanvraag bevat headers om caching door proxy’s/CDN’s te voorkomen.

Onderzoekers hebben de initiële aanvalsmethode niet geïdentificeerd, maar ontdekten dat de infectie begint wanneer het slachtoffer een valse ScreenConnect-update uitvoert, die een loader gebaseerd op Rust installeert. Daarna wordt een .NET-loader ingezet, die CloudZ RAT installeert en blijft functioneren door een geplande taak.

De .NET loader bevat ook controles tegen analyse, zoals tijdgebaseerde ontwijkstappen en controles voor analysetools als Wireshark en Sysmon.

Om deze aanvallen te voorkomen, wordt gebruikers aangeraden om geen SMS-gebaseerde OTP-diensten te gebruiken en over te schakelen naar authenticator-apps die geen vatbare push-meldingen gebruiken. Voor extra veiligheid bij gevoelige informatie kunnen phishing-resistente oplossingen zoals hardware-sleutels worden gebruikt.

Cisco Talos heeft een reeks indicatoren gepubliceerd die worden gebruikt om omgevingen te beschermen, waaronder URL’s, hashes van kwaadaardige componenten, domeinen en IP-adressen.

Bij een bijeenkomst over autonome validatie (12 en 14 mei) werd getoond hoe autonome, contextgerichte validaties kwetsbaarheden opsporen en controlemechanismen versterken. Reserveer je plek.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.