Windows işletim sistemlerini hedef alan yeni bir kötü amaçlı yazılım seti, Microsoft'un Phone Link uygulamasını kullanarak kurbanların SMS mesajlarını ve tek kullanımlık şifrelerini (OTP) çalıyor. Cisco Talos araştırmacıları tarafından keşfedilen bu tehdit, CloudZ adlı bir uzaktan erişim aracı (RAT) ve daha önce bilinmeyen Pheno eklentisinden oluşuyor. Bu araçlar, kullanıcıların kimlik bilgilerini toplamak ve telefonlarından senkronize edilen doğrulama kodlarını ele geçirmek için birlikte çalışıyor. Saldırı, en az Ocak 2026'dan beri aktif olarak devam ediyor.
Microsoft Phone Link (eski adıyla Your Phone), Windows 10 ve 11'de yerleşik olarak bulunuyor ve akıllı telefon bildirimlerini, SMS'leri ve arama kayıtlarını Wi-Fi ve Bluetooth üzerinden masaüstüne yansıtıyor. Bu senkronize veriler, PhoneExperiences-*.db gibi yerel SQLite veritabanı dosyalarına yazılıyor. Cisco Talos, bu tasarımın saldırganların telefona fiziksel olarak erişmeden mobil içeriği ele geçirmesine olanak tanıdığını belirtti. Pheno eklentisi, çalışan işlemleri sürekli tarayarak Phone Link ile ilgili anahtar kelimeleri arıyor ve aktif bir oturum tespit edildiğinde sistemi 'Maybe connected' olarak işaretleyerek veri toplama işlemini başlatıyor.
Saldırı zinciri, sahte bir ScreenConnect güncellemesinin çalıştırılmasıyla başlıyor. Rust ile derlenmiş bir yükleyici, .NET yükleyicisini düşürüyor ve bu yükleyici, CloudZ'u meşru regasm.exe ikili dosyası aracılığıyla dağıtıyor. CloudZ, ConfuserEx ile karartılmış bir .NET yürütülebilir dosyası. Çok katmanlı anti-analiz önlemleri içeriyor: zamanlama tabanlı uyku kontrolleri, Wireshark, Procmon ve Sysmon gibi güvenlik araçlarını tespit etme ve sanal makine belirteçlerini arama. RAT, ikincil yapılandırmayı saldırgan kontrolündeki sunuculardan ve Pastebin sayfalarından alıyor, HTTP trafiğini meşru tarayıcı etkinliğiyle karıştırmak için üç farklı kullanıcı aracısı dizesi kullanıyor ve kimlik bilgisi sızdırmadan eklenti yüklemeye ve ekran kaydına kadar çeşitli komutları destekliyor.
Önemli Gelişmeler
Bu teknik, SMS tabanlı çok faktörlü kimlik doğrulamanın (MFA) risk yüzeyini telefondan kurumsal yönetilen Windows uç noktasına kaydırıyor ve yalnızca mobil cihaz güvenliğine odaklanan kontrolleri etkisiz hale getiriyor. Cisco Talos, bu tehdide karşı savunmacıların tespit ve engelleme yapabilmesi için uzlaşma göstergeleri (IoC'ler) ve ClamAV imzaları yayınladı. Kullanıcıların, Phone Link uygulamasına erişimi kısıtlamaları ve SMS tabanlı MFA yerine daha güvenli kimlik doğrulama yöntemlerini tercih etmeleri öneriliyor.