Атака без компрометиране на телефона

Изследователи от Cisco Talos разкриват нова версия на RAT зловредния софтуер CloudZ RAT, която включва непознат досега плъгин – Pheno. Неговата цел е да прихваща чувствителни данни от мобилни устройства, без те реално да бъдат компрометирани.

Ключовият елемент в атаката е злоупотребата с Microsoft Phone Link – стандартно приложение в Windows 10 и Windows 11, което синхронизира телефон и компютър, позволявайки достъп до съобщения, обаждания и известия.

Как работи атаката

Pheno следи за активни сесии на Phone Link и при наличие на такава:

• достъпва локалната SQLite база данни на приложението
• извлича SMS съобщения и еднократни кодове (OTP)
• прихваща известия от приложения за автентикация

Това означава, че атакуващият може да получи кодове за двуфакторна автентикация, без да има достъп до самия телефон – достатъчно е да компрометира компютъра.

Това е съществена еволюция на атаките срещу 2FA, тъй като заобикаля традиционното разбиране, че мобилното устройство е „втори защитен фактор“.

Входната точка – фалшив ъпдейт

Атаката започва чрез социално инженерство:

• жертвата стартира фалшив ъпдейт на ScreenConnect
• зарежда се Rust-базиран loader
• следва .NET loader, който инсталира CloudZ RAT
• създава се постоянство чрез scheduled task

Зловредният loader включва и сериозни механизми за избягване на анализ:

• проверка за инструменти като Wireshark, Fiddler, Procmon и Sysmon
• засичане на виртуални среди и sandbox
• времеви проверки за избягване на автоматичен анализ

Допълнителни възможности на CloudZ RAT

Освен Pheno, CloudZ RAT предоставя пълен контрол над системата:

• управление на файлове (изтриване, качване, запис)
• изпълнение на shell команди
• запис на екрана
• кражба на браузърни данни
• динамично зареждане на плъгини

Комуникацията със сървъра за управление (C2) се прикрива чрез легитимно изглеждащи HTTP заявки с различни user-agent низове.

Защо това е сериозен пробив в сигурността

Този тип атака показва нова реалност:

• 2FA чрез SMS вече е силно компрометируем
• дори приложения за автентикация могат да бъдат заобиколени чрез известия
• доверието към синхронизационни приложения може да бъде експлоатирано

Атакуващите вече не атакуват директно мобилните устройства – те атакуват моста между устройствата.

Как да се защитим

Експертите препоръчват:

• избягване на SMS-базирана автентикация
• използване на хардуерни ключове (FIDO2)
• ограничаване на синхронизационни услуги като Microsoft Phone Link в чувствителни среди
• мониторинг на необичайни процеси и достъп до локални бази данни
• обучение на потребителите за фалшиви ъпдейти

Kомпрометираният endpoint обезсмисля 2FA

Този случай ясно показва, че ако крайната точка (endpoint) е компрометирана, дори най-добрите механизми за автентикация могат да бъдат заобиколени.

Фокусът в киберсигурността се измества към защита на самата работна станция и контрол върху приложенията, които действат като посредник между различни устройства и канали за комуникация.