Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Phone Link sotto attacco: CloudZ RAT ruba credenziali e OTP dal PC, senza infettare lo smartphone
Una nuova campagna di malware sta dimostrando come anche le funzioni legittime di sincronizzazione tra dispositivi possano diventare un vettore di furto credenziali. I ricercatori hanno osservato l’uso di CloudZ RAT insieme a un plugin personalizzato chiamato Pheno per sfruttare Microsoft Phone Link su Windows 10 e Windows 11 e puntare a dati sensibili come credenziali e codici OTP.
L’elemento più interessante è che l’attacco non richiede l’infezione dello smartphone. Invece di installare malware sul telefono, Pheno monitora la presenza di processi attivi di Phone Link sul PC e, quando trova la sessione di collegamento con Android o iPhone, tenta di accedere ai dati sincronizzati.
Phone Link consente infatti di gestire chiamate, messaggi, notifiche e altre informazioni dal computer tramite Wi‑Fi e Bluetooth, creando un ponte che, se abusato, può trasformarsi in un canale per intercettare SMS e OTP e aggirare di fatto alcune difese di autenticazione a due fattori.
Gli attori della minaccia risultano attivi almeno da gennaio 2026 e non sono stati collegati a un gruppo noto. Nella catena di infezione è stato rilevato un accesso iniziale non ancora chiarito, seguito dal rilascio di un eseguibile falso che imita ConnectWise ScreenConnect.
Questo dropper scarica ed esegue un loader in .NET e usa anche uno script PowerShell integrato per ottenere persistenza creando una operazione pianificata che avvia il loader malevolo.
Il loader intermedio esegue controlli su hardware e ambiente per ridurre la probabilità di rilevamento, poi installa il trojan modulare CloudZ. Una volta avviato, CloudZ decifra una configurazione incorporata, stabilisce una connessione cifrata verso il server di comando e controllo e attende istruzioni codificate in Base64.
Tra le funzioni disponibili ci sono raccolta di metadati di sistema, esecuzione di comandi shell, esfiltrazione di dati del browser e moduli dedicati alla raccolta di log e dati di Phone Link. I plugin possono essere caricati, salvati su disco in una directory di staging e rimossi a richiesta, rendendo il RAT flessibile e adatto a campagne di furto credenziali su endpoint Windows.