Investigadores de ciberseguridad han revelado detalles de una intrusión que implicó el uso de una herramienta de acceso remoto (RAT) de CloudZ y un complemento no documentado anterior denominado Pheno con el objetivo de facilitar el robo de credenciales.
«De acuerdo con las funcionalidades del complemento CloudZ RAT y Pheno, esto tenía la intención de robar las credenciales de las víctimas y, potencialmente, contraseñas de un solo uso (OTP)», los investigadores de Cisco Talos, Alex Karkins y Chetan Raghuprasad. dicho en un análisis del martes.
Lo que hace que el ataque sea novedoso es que CloudZ utiliza el complemento Pheno personalizado para secuestrar el puente establecido de PC a teléfono abusando de la aplicación Microsoft Phone Link, lo que permite que el complemento monitoree los procesos activos de Phone Link y potencialmente intercepte datos móviles confidenciales como SMS y contraseñas de un solo uso (OTP) sin la necesidad de implementar malware en el teléfono.
Los hallazgos demuestran cómo las funciones legítimas de sincronización entre dispositivos pueden exponer vías de ataque no deseadas al robo de credenciales y ayudar a evitar la autenticación de dos factores. Es más, evita la necesidad de comprometer el propio dispositivo móvil.
El malware, según la empresa de ciberseguridad, se ha utilizado como parte de una intrusión que ha estado activa desde al menos enero de 2026. La actividad no se ha atribuido a ningún actor o grupo de amenazas conocido.
Integrado en Windows 10 y Windows 11, Enlace telefónico ofrece una forma para que los usuarios emparejen su computadora con un dispositivo Android o iPhone a través de Wi-Fi y Bluetooth, lo que les permite hacer o recibir llamadas telefónicas, enviar mensajes y descartar notificaciones.
Se han observado actores de amenazas desconocidos que intentan aprovechar la aplicación utilizando CloudZ RAT y Pheno para confirmar la actividad de Phone Link en un entorno de víctima y luego acceder al archivo de base de datos SQLite utilizado por el programa para almacenar los datos sincronizados del teléfono.
Se dice que la cadena de ataque empleó un método de acceso inicial aún indeterminado para obtener un punto de apoyo y soltar un ejecutable falso de ConnectWise ScreenConnect que es responsable de descargar y ejecutar un cargador .NET. El cuentagotas inicial también utiliza un script de PowerShell integrado para establecer la persistencia mediante la configuración de una tarea programada que ejecuta el cargador .NET malicioso.
El cargador intermedio está diseñado para ejecutar comprobaciones de hardware y entorno para evadir la detección e implementar el troyano modular CloudZ en la máquina. Una vez ejecutado, el troyano compilado en .NET descifra una configuración incrustada, establece una conexión de socket cifrada con el servidor de comando y control (C2) y espera instrucciones codificadas en Base64 que le permiten extraer credenciales e implantar complementos adicionales.
Algunos de los comandos admitidos por CloudZ incluyen:
- pong, para enviar respuestas de latidos del corazón
- PING!, para emitir una solicitud de latido
- CERRAR, para finalizar el proceso troyano
- INFO, para recopilar metadatos del sistema
- RunShell, para ejecutar el comando de shell
- BrowserSearch, para filtrar datos del navegador web
- GetWidgetLog, para filtrar registros y datos de reconocimiento de Phone Link
- complemento, para cargar un complemento
- savePlugin, para guardar un complemento en el disco en el directorio provisional («C:\ProgramData\Microsoft\whealth\»)
- sendPlugin, para cargar un complemento al servidor C2
- RemovePlugins, para eliminar todos los módulos de complementos implementados
- Recuperación, para permitir la recuperación o la reconexión
- DW, para realizar operaciones de descarga y escritura de archivos.
- FM, para realizar operaciones de gestión de archivos.
- Msg, para enviar un mensaje al servidor C2
- Error, para informar errores al servidor C2
- rec, para grabar la pantalla
«El atacante utilizó un complemento llamado Pheno para realizar un reconocimiento de la aplicación Windows Phone Link en la máquina víctima», dijo Talos. «El complemento realiza un reconocimiento de la aplicación Microsoft Phone Link en la máquina víctima y escribe los datos de reconocimiento en un archivo de salida en una carpeta provisional. CloudZ vuelve a leer los datos de la aplicación Phone Link de la carpeta provisional y los envía al servidor C2».
