CloudZ Kötü Amaçlı Yazılım, SMS OTP'lerini Çalmak İçin Telefon Bağlantısını Kötüye Kullanıyor Linux

CloudZ Kötü Amaçlı Yazılım, SMS OTP'lerini Çalmak İçin Telefon Bağlantısını Kötüye Kullanıyor

Bir Windows kötü amaçlı yazılım araç kitinin, Microsoft'un Phone Link uygulamasını ele geçirerek kurban makinelerden SMS mesajlarını ve tek kullanımlı...

Bir Windows kötü amaçlı yazılım araç kitinin, Microsoft'un Phone Link uygulamasını ele geçirerek kurban makinelerden SMS mesajlarını ve tek kullanımlık şifreleri (OTP'ler) çaldığı ve hedefin mobil cihazını doğrudan tehlikeye atma ihtiyacını ortadan kaldırdığı gözlemlendi.

Cisco Talos araştırmacılarının yeni analizine göre etkinlik en az Ocak 2026'dan beri devam ediyor.

Operasyonun merkezinde CloudZ adı verilen bir uzaktan erişim aracı (RAT) ve Pheno adlı daha önce belgelenmemiş bir eklenti yer alıyor. Araçlar, kimlik bilgilerini toplamak ve eşleştirilmiş bir akıllı telefondan senkronize edilen kimlik doğrulama kodlarına müdahale etmek için birlikte çalışır.

Mobil Veriye Köprü Olarak Telefon Bağlantısı

Eskiden Telefonunuz olarak bilinen Microsoft Phone Link, Windows 10 ve 11'de yerleşiktir ve akıllı telefon bildirimlerini, SMS mesajlarını ve çağrı kayıtlarını Wi-Fi ve Bluetooth üzerinden masaüstüne yansıtır.

Nasıl Önlem Alınmalı?

Senkronize veriler, PhoneExperiences-*.db adlı dosya da dahil olmak üzere bilgisayardaki yerel SQLite veritabanı dosyalarına yazılır. Cisco Talos, bu tasarımın saldırganların telefona hiç dokunmadan uç noktadan mobil içerik yakalamasına olanak tanıdığını söyledi.

Pheno eklentisi, çalışan süreçleri YourPhone, PhoneExperienceHost ve Link to Windows gibi Telefon Bağlantısı ile ilişkili anahtar sözcükler için sürekli olarak tarar.

Sistem Güvenliği

Bir eşleşme bulunduğunda, işlem ayrıntılarını hazırlama klasörlerine kaydeder ve ardından etkin Telefon Bağlantısı oturumu tarafından kullanılan yerel geçişi belirten "proxy" dizisinin çıktısını kontrol eder.

Canlı bir oturum onaylanırsa Pheno, sistemi "Belki bağlı" olarak etiketler ve operatörün takip eden veri toplaması için işaretler.

SMS müdahale tehditleri hakkında daha fazlasını okuyun: Yeni SMS Hırsızı Kötü Amaçlı Yazılım 600'den Fazla Küresel Markayı Hedefliyor

Bellekte Yerleşik Yürütme ve Anti-Analiz

Gözlemlenen enfeksiyon zinciri, bu yazının yazıldığı sırada henüz bilinmeyen ilk erişim vektörü olan sahte bir ScreenConnect güncellemesinin yürütülmesiyle başladı.

Systemupdates.exe gibi dosya adlarını kullanan Rust tarafından derlenen bir yükleyici, metin dosyası olarak gizlenen bir .NET yükleyiciyi düşürdü ve ardından CloudZ'yi meşru regasm.exe ikili dosyası aracılığıyla dağıttı. İkincisinin sistem başlangıcında SYSTEM hesabı altında çalışması planlandı.

Uzmanların Görüşleri

CloudZ'nin kendisi, ConfuserEx ile gizlenmiş ve Ocak 2026'nın ortasında derlenmiş bir .NET yürütülebilir dosyasıdır. Talos, zamanlamaya dayalı uyku kontrolleri, Wireshark, Procmon ve Sysmon gibi güvenlik araçlarının numaralandırılması ve sistem yolu ve ana bilgisayar adında sanal makine göstergelerinin aranması dahil olmak üzere birden fazla anti-analiz katmanını gözlemledi.

RAT, saldırgan tarafından kontrol edilen hazırlama sunucularından ve Pastebin sayfalarından ikincil yapılandırmayı alır, HTTP trafiğini yasal tarayıcı etkinliğiyle harmanlamak için üç sabit kodlu kullanıcı aracısı dizesi boyunca döner ve kimlik bilgilerinin sızmasından eklenti yükleme ve ekran kaydetmeye kadar çeşitli komutları destekler.

Gelecekte Ne Bekleniyor?

Bu teknik, SMS tabanlı çok faktörlü kimlik doğrulamanın (MFA) risk yüzeyini telefondan kurumsal olarak yönetilen Windows uç noktasına kaydırarak yalnızca mobil cihaz güvenliğine odaklanan kontrolleri baltalıyor.

Teknik Analiz

Cisco Talos, savunmacıların etkinliği tespit etmesine ve engellemesine yardımcı olmak için ClamAV imzalarının yanı sıra tehdide ilişkin risk göstergeleri de yayınladı.

Paylaş: