Фахівці Cisco Talos виявили новий шкідливий програмний комплекс, що діє щонайменше з січня 2026 року. Цей троян встановлює на комп’ютери під керуванням Windows інструмент віддаленого доступу CloudZ RAT разом із додатковим плагіном Pheno. Плагін Pheno дозволяє зловмисникам отримувати конфіденційні дані зі смартфона, підключеного до ПК за допомогою функції Phone Link.
Як відбувається атака
Дослідники зазначають, що атака починається з невідомого вектора, що надає зловмисникам первинний доступ до системи жертви. Після цього на комп’ютері запускається підроблене оновлення програми SmartConnect, яке, по суті, є інсталятором для модульного CloudZ.
Функціонал CloudZ RAT та плагіна Pheno
Після успішного розгортання RAT розшифровує конфігураційні дані та встановлює зашифроване з’єднання з командно-контрольним сервером (C2). У цьому режимі він готовий до виконання команд. CloudZ RAT надає зловмисникам можливості для вилучення облікових даних із веб-браузерів жертви. Крім того, він завантажує та встановлює плагін Pheno. Цей плагін спеціалізується на зчитуванні даних програми Phone Link з тимчасових файлів і пересиланні їх на C2-сервер.
Роль Phone Link у цій атаці
Функція Windows Phone Link призначена для синхронізації файлів, повідомлень, дзвінків та сповіщень між смартфоном користувача та комп’ютерами з Windows 10 або Windows 11. Зловмисники зосередили свої зусилля на викраденні SMS-повідомлень, які часто містять одноразові паролі (OTP) та логіни для доступу до різних облікових записів. Саме ці дані, за даними Cisco Talos, становлять основну ціль для зловмисників.
Вердикт ІТ-Блогу: Необхідно бути уважними до оновлень програм та уважно перевіряти джерела їх завантаження, особливо якщо йдеться про системні компоненти, як-от Phone Link. Користувачам, які активно використовують синхронізацію смартфона з ПК, рекомендовано стежити за актуальними рекомендаціями щодо безпеки.
За матеріалами: mezha.ua