Новый троян CloudZ использует приложение Microsoft Phone Link для перехвата одноразовых паролей

Кампания кибершпионажа, активная с января 2026 года, привлекла внимание экспертов по информационной безопасности. Злоумышленники внедряют на компьютеры жертв вредоносное ПО с удалённым доступом (RAT, программа для скрытого управления системой) под названием CloudZ и ранее неизвестный модуль Pheno. Их главная цель - кража учётных данных и одноразовых паролей (OTP), которые приходят в SMS или через приложения-аутентификаторы. Для этого атакующие злоупотребляют штатной возможностью Windows - приложением Phone Link, синхронизирующим смартфон с ПК.

Описание

Phone Link (ранее "Ваш телефон") - встроенный в Windows 10 и 11 инструмент, который передаёт на экран компьютера уведомления, SMS и журналы звонков. Все эти данные хранятся на ПК в локальной базе SQLite. Именно этот файл и пытаются перехватить CloudZ и плагин Pheno. Атака начинается с неизвестного исходного вектора: на компьютер жертвы попадает исполняемый файл, выдающий себя за обновление программы удалённого доступа ScreenConnect. Вредоносная программа загружает промежуточный загрузчик .NET, который разворачивает основной модуль CloudZ. Сам CloudZ написан на .NET и зашифрован обфускатором ConfuserEx, что затрудняет его анализ.

При запуске троян расшифровывает свою конфигурацию из ресурсов внутри бинарного файла. Конфигурация содержит IP-адреса командного центра (C2), команды, пути для временных файлов и встроенные скрипты PowerShell. CloudZ устанавливает зашифрованное сокетное соединение с C2-сервером и переходит в режим ожидания команд. Для маскировки трафика используются три различных строки User-Agent, имитирующие обычные браузеры, а также заголовки, запрещающие кэширование на прокси-серверах. В отчёте специалистов Talos отмечается, что троян умеет выполнять множество действий: собирать информацию о системе, запускать команды оболочки, искать пароли в браузерах, загружать и исполнять плагины, записывать экран, а также управлять файлами. Особый интерес представляет команда GetWidgetLog, предназначенная для сбора данных из базы приложения Phone Link.

Чтобы добраться до этой базы, атакующие применяют плагин Pheno, загруженный на машину жертвы через ту же инфраструктуру. Pheno ищет в списке процессов имена YourPhone, PhoneExperienceHost или Link to Windows. Если обнаруживается активная синхронизация, плагин записывает идентификаторы процессов в текстовый файл и проверяет, есть ли в нём строка "proxy". Дело в том, что Phone Link создаёт локальное прокси-соединение для передачи трафика между ПК и телефоном. Если прокси активно, значит, через приложение прямо сейчас передаются данные. Тогда плагин помечает файл пометкой "Maybe connected", а CloudZ забирает этот файл и отправляет на C2-сервер.

Таким образом, злоумышленник получает уведомление о том, что жертва использует связку ПК-смартфон. После этого он может перехватить файл базы данных PhoneExperiences-*.db, в котором хранятся все SMS, журналы звонков и уведомления от аутентификаторов. Если одноразовый пароль приходит в SMS или в виде push-уведомления на телефон, он оказывается на компьютере и становится доступен для кражи. Особенно опасен этот метод для организаций, использующих двухфакторную аутентификацию через SMS или приложения-генераторы кодов.

Обнаружение такой атаки крайне затруднено: CloudZ использует вставку кода в системную память, проверяет окружение на наличие отладчиков и песочниц, а также применяет задержки, чтобы обойти динамический анализ. Загрузчик написан на Rust, что само по себе необычно для вредоносного ПО. Он маскируется под имена "systemupdates.exe" или "Windows-interactive-update.exe". Для закрепления в системе (persistence) используется планировщик задач: создаётся задача SystemWindowsApis, которая при старте системы запускает легитимную утилиту regasm.exe с аргументом, указывающим на загрузчик .NET.

По данным Talos, в одной из атак полезная нагрузка загружалась с сервера, замаскированного под сервис Cloudflare Workers. Вторичная конфигурация и адрес C2 были выложены на Pastebin под именем HELLOHIALL. Сам C2-сервер имел IP 185.196.10[.]136 и порт 8089. Эти индикаторы уже могут использоваться для защиты. На данный момент неизвестно, сколько организаций или частных лиц пострадало от этой кампании. Однако сам факт того, что злоумышленники нашли способ обойти мобильную двухфакторную аутентификацию без установки вредоносного ПО на телефон, делает атаку особенно опасной. Использование штатных функций Windows, таких как Phone Link, практически невозможно заблокировать без полного отключения функции синхронизации.

Пользователям, обеспокоенным безопасностью, стоит пересмотреть необходимость подключения телефона к рабочему ПК, а также рассмотреть альтернативные методы двухфакторной аутентификации, например, аппаратные токены. Важно подчеркнуть, что это не уязвимость в Phone Link, а злонамеренное использование его легитимных возможностей. Тем не менее Microsoft может усилить защиту базы данных приложения, например, шифрованием или контролем доступа к ней. Пока же компаниям и пользователям остаётся полагаться на своевременное выявление аномалий в сетевом трафике и поведении процессов.