Siber güvenlik araştırmacıları, Windows kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım tespit etti. CloudZ adı verilen bu yazılım, Microsoft'un Phone Link (eski adıyla Your Phone) uygulamasını ele geçirerek SMS mesajlarını ve tek kullanımlık şifreleri (OTP) çalıyor. Bu yöntem, saldırganların hedefin mobil cihazına doğrudan erişmesine gerek kalmadan, kimlik avı ve diğer saldırıları gerçekleştirmesine olanak tanıyor. Cisco Talos araştırmacıları, bu faaliyetin en az Ocak 2026'dan beri devam ettiğini belirtiyor.
CloudZ, bir uzaktan erişim aracı (RAT) olarak çalışıyor ve daha önce bilinmeyen Pheno adlı bir eklentiyle birlikte kullanılıyor. Bu iki araç, kullanıcı kimlik bilgilerini toplamak ve eşleştirilmiş bir akıllı telefondan senkronize edilen kimlik doğrulama kodlarını ele geçirmek için birlikte çalışıyor. Phone Link uygulaması, Windows 10 ve 11'de yerleşik olarak bulunuyor ve Wi-Fi ile Bluetooth üzerinden akıllı telefon bildirimlerini, SMS mesajlarını ve arama kayıtlarını masaüstüne yansıtıyor. Senkronize edilen veriler, PhoneExperiences-*.db gibi yerel SQLite veritabanı dosyalarına kaydediliyor. Cisco Talos, bu tasarımın saldırganların telefona dokunmadan mobil içeriği ele geçirmesine olanak tanıdığını söylüyor.
Pheno eklentisi, sürekli olarak çalışan süreçleri YourPhone, PhoneExperienceHost ve Link to Windows gibi Phone Link ile ilişkili anahtar kelimeler için tarıyor. Bir eşleşme bulduğunda, süreç detaylarını geçici klasörlere kaydediyor ve ardından çıktıda 'proxy' dizesini arıyor. Bu dize, aktif bir Phone Link oturumu tarafından kullanılan yerel bir aktarmayı (relay) işaret ediyor. Canlı bir oturum doğrulanırsa, Pheno sistemi 'Belki bağlı' olarak işaretliyor ve operatörün daha sonra veri toplaması için işaretleme yapıyor. Bu teknik, SMS tabanlı çok faktörlü kimlik doğrulamanın (MFA) risk yüzeyini telefondan kurumsal olarak yönetilen Windows uç noktasına kaydırıyor ve yalnızca mobil cihaz güvenliğine odaklanan kontrolleri zayıflatıyor.
Sistem Güvenliği
Gözlemlenen enfeksiyon zinciri, sahte bir ScreenConnect güncellemesinin çalıştırılmasıyla başlıyor. İlk erişim vektörü henüz bilinmiyor. Rust ile derlenmiş bir yükleyici (systemupdates.exe gibi dosya adları kullanıyor), metin dosyası kılığına girmiş bir .NET yükleyicisi bırakıyor ve bu da CloudZ'u meşru regasm.exe ikili dosyası aracılığıyla dağıtıyor. CloudZ, SYSTEM hesabı altında sistem başlangıcında çalışacak şekilde zamanlanıyor. CloudZ'nin kendisi, ConfuserEx ile gizlenmiş ve Ocak 2026 ortasında derlenmiş bir .NET yürütülebilir dosyası. Talos, zamanlama tabanlı uyku kontrolleri, Wireshark, Procmon ve Sysmon gibi güvenlik araçlarının numaralandırılması ve sistem yolu ile ana bilgisayar adında sanal makine göstergelerinin aranması dahil olmak üzere birden çok anti-analiz katmanı gözlemledi.
CloudZ RAT, ikincil yapılandırmayı saldırgan tarafından kontrol edilen hazırlık sunucularından ve Pastebin sayfalarından çekiyor, HTTP trafiğini meşru tarayıcı etkinliğiyle harmanlamak için üç sabit kodlanmış kullanıcı aracısı dizesi arasında geçiş yapıyor ve kimlik bilgisi sızdırmadan eklenti yüklemeye ve ekran kaydetmeye kadar çeşitli komutları destekliyor. Bu yetenekler, CloudZ'u özellikle kurumsal ortamlarda tehlikeli kılıyor. Cisco Talos, bu tehditle ilgili tehlike göstergelerini (IoC'ler) ve ClamAV imzalarını yayınlayarak savunmacıların etkinliği tespit etmesine ve engellemesine yardımcı olmayı amaçlıyor.
Bu gelişme, kullanıcıların ve kuruluşların MFA yöntemlerini yeniden değerlendirmeleri gerektiğini gösteriyor. SMS tabanlı OTP'ler, CloudZ gibi kötü amaçlı yazılımlar tarafından ele geçirilebilir. Bu nedenle, donanım tabanlı güvenlik anahtarları veya kimlik doğrulama uygulamaları gibi daha güvenli MFA yöntemlerine geçiş yapılması önerilir. Ayrıca, Windows cihazlarında Phone Link gibi uygulamaların kullanımı sınırlandırılabilir veya izlenebilir. Kurumsal ağlarda, uç nokta tespit ve yanıt (EDR) çözümleri ve düzenli güvenlik güncellemeleri bu tür tehditlere karşı koruma sağlayabilir. Cisco Talos'un yayınladığı IoC'ler, güvenlik ekiplerinin ağlarında bu tehdidi aramasına yardımcı olabilir.
Kaynak: infosecurity-magazine.com