- 26,622
- 46
- 8 Ноя 2022
Выяснилось, что привычка упрощать себе жизнь внезапно сыграла на руку злоумышленникам.
Злоумышленникам всё чаще даже не нужно заражать смартфон, чтобы добраться до сообщений с одноразовыми кодами входа. Достаточно найти слабое место в связке телефона и компьютера. Cisco Talos описала атаку , в которой вредонос CloudZ RAT использовал приложение Microsoft Phone Link («Связь с телефоном») и новый модуль Pheno, чтобы потенциально перехватывать SMS, уведомления и одноразовые пароли.
По данным экспертов Talos, вредоносная кампания стартовала не позднее января этого года. Начальный способ проникновения пока не установлен, но на заражённых системах запускался поддельный установщик обновления ScreenConnect . После запуска вредоносный файл загружал промежуточный .NET-загрузчик, а тот разворачивал модульный CloudZ RAT.
Phone Link встроен в Windows 10 и Windows 11 и помогает синхронизировать компьютер со смартфоном. Приложение показывает на ПК уведомления, SMS, историю звонков и другие данные телефона. Синхронизированная информация хранится на компьютере в базе SQLite, включая файлы вида PhoneExperiences-.db. Именно к такой схеме и попытались подобраться атакующие.
Модуль Pheno проверял, работает ли на машине связка Phone Link. Для этого он искал процессы с названиями YourPhone, PhoneExperienceHost и Link to Windows, затем записывал найденные идентификаторы и пути к файлам в служебные каталоги. Дополнительная проверка искала признак proxy, связанный с локальным каналом, через который Phone Link передаёт данные между ПК и телефоном. При совпадении модуль помечал сессию как потенциально активную.
CloudZ RAT мог забирать результаты работы Pheno из промежуточной папки и отправлять данные на управляющий сервер. Cisco Talos связывает такую активность с попыткой украсть учётные данные и, возможно, одноразовые коды из SMS или уведомлений приложений-аутентификаторов. При этом вредонос не требовал установки отдельного приложения на смартфон.
Загрузчик, найденный Cisco Talos, был написан на Rust и маскировался под файлы systemupdates.exe или Windows-interactive-update.exe. Для закрепления в системе он создавал задачу Windows SystemWindowsApis, запускал .NET-компонент через regasm.exe и переживал перезагрузку. Перед запуском CloudZ проверял среду на признаки анализа, искал Wireshark, Fiddler, Procmon, Sysmon, виртуальные машины и песочницы.
Сам CloudZ хранит конфигурацию в зашифрованном виде, расшифровывает её в памяти и подключается к управляющему серверу через TCP. Вредонос поддерживает команды для сбора данных о системе, выполнения команд оболочки, кражи браузерных данных, записи экрана, загрузки модулей и управления файлами. Для получения компонентов он использует curl, PowerShell или bitsadmin, что помогает работать даже при отсутствии части инструментов.
Cisco Talos добавила детектирование угрозы в ClamAV и Snort, а индикаторы компрометации опубликовала в своём GitHub-репозитории. Подобные инфостилеры , нацеленные на кражу браузерных данных и учётных записей, в последнее время становятся всё более изощрёнными.
Злоумышленникам всё чаще даже не нужно заражать смартфон, чтобы добраться до сообщений с одноразовыми кодами входа. Достаточно найти слабое место в связке телефона и компьютера. Cisco Talos описала атаку , в которой вредонос CloudZ RAT использовал приложение Microsoft Phone Link («Связь с телефоном») и новый модуль Pheno, чтобы потенциально перехватывать SMS, уведомления и одноразовые пароли.
По данным экспертов Talos, вредоносная кампания стартовала не позднее января этого года. Начальный способ проникновения пока не установлен, но на заражённых системах запускался поддельный установщик обновления ScreenConnect . После запуска вредоносный файл загружал промежуточный .NET-загрузчик, а тот разворачивал модульный CloudZ RAT.
Phone Link встроен в Windows 10 и Windows 11 и помогает синхронизировать компьютер со смартфоном. Приложение показывает на ПК уведомления, SMS, историю звонков и другие данные телефона. Синхронизированная информация хранится на компьютере в базе SQLite, включая файлы вида PhoneExperiences-.db. Именно к такой схеме и попытались подобраться атакующие.
Модуль Pheno проверял, работает ли на машине связка Phone Link. Для этого он искал процессы с названиями YourPhone, PhoneExperienceHost и Link to Windows, затем записывал найденные идентификаторы и пути к файлам в служебные каталоги. Дополнительная проверка искала признак proxy, связанный с локальным каналом, через который Phone Link передаёт данные между ПК и телефоном. При совпадении модуль помечал сессию как потенциально активную.
CloudZ RAT мог забирать результаты работы Pheno из промежуточной папки и отправлять данные на управляющий сервер. Cisco Talos связывает такую активность с попыткой украсть учётные данные и, возможно, одноразовые коды из SMS или уведомлений приложений-аутентификаторов. При этом вредонос не требовал установки отдельного приложения на смартфон.
Загрузчик, найденный Cisco Talos, был написан на Rust и маскировался под файлы systemupdates.exe или Windows-interactive-update.exe. Для закрепления в системе он создавал задачу Windows SystemWindowsApis, запускал .NET-компонент через regasm.exe и переживал перезагрузку. Перед запуском CloudZ проверял среду на признаки анализа, искал Wireshark, Fiddler, Procmon, Sysmon, виртуальные машины и песочницы.
Сам CloudZ хранит конфигурацию в зашифрованном виде, расшифровывает её в памяти и подключается к управляющему серверу через TCP. Вредонос поддерживает команды для сбора данных о системе, выполнения команд оболочки, кражи браузерных данных, записи экрана, загрузки модулей и управления файлами. Для получения компонентов он использует curl, PowerShell или bitsadmin, что помогает работать даже при отсутствии части инструментов.
Cisco Talos добавила детектирование угрозы в ClamAV и Snort, а индикаторы компрометации опубликовала в своём GitHub-репозитории. Подобные инфостилеры , нацеленные на кражу браузерных данных и учётных записей, в последнее время становятся всё более изощрёнными.
- Источник новости
- www.securitylab.ru
