Windows işletim sistemlerini hedef alan yeni bir kötü amaçlı yazılım seti, Microsoft'un Phone Link uygulamasını ele geçirerek kurbanların SMS mesajlarını ve tek kullanımlık şifrelerini (OTP) çalıyor. Cisco Talos araştırmacılarının analizine göre, CloudZ adı verilen bu uzaktan erişim aracı (RAT) ve daha önce bilinmeyen Pheno eklentisi, hedefin akıllı telefonuna doğrudan erişmeden kimlik bilgilerini toplamak ve doğrulama kodlarını ele geçirmek için birlikte çalışıyor. Faaliyetlerin en az Ocak 2026'dan beri devam ettiği belirtiliyor.
Microsoft Phone Link (eski adıyla Your Phone), Windows 10 ve 11'de yerleşik olarak bulunuyor ve Wi-Fi ile Bluetooth üzerinden akıllı telefon bildirimlerini, SMS'leri ve arama kayıtlarını masaüstüne yansıtıyor. Senkronize edilen veriler, PhoneExperiences-*.db adlı yerel SQLite veritabanı dosyalarına yazılıyor. Cisco Talos, bu tasarımın saldırganların telefona hiç dokunmadan mobil içeriği toplamasına olanak tanıdığını belirtti. Pheno eklentisi, YourPhone, PhoneExperienceHost ve Link to Windows gibi Phone Link ile ilişkili anahtar kelimeler için çalışan işlemleri sürekli tarıyor. Bir eşleşme bulduğunda, işlem detaylarını geçici klasörlere kaydediyor ve çıktıda aktif bir Phone Link oturumu tarafından kullanılan yerel aktarımı gösteren 'proxy' dizesini arıyor. Canlı bir oturum tespit edilirse, Pheno sistemi 'Muhtemelen bağlı' olarak işaretliyor ve operatör tarafından veri toplanması için işaretliyor.
Gözlemlenen enfeksiyon zinciri, sahte bir ScreenConnect güncellemesinin çalıştırılmasıyla başlıyor. İlk erişim vektörü henüz bilinmiyor. Rust derlenmiş bir yükleyici (systemupdates.exe gibi dosya adları kullanıyor), bir metin dosyası gibi gizlenmiş .NET yükleyici bırakıyor ve bu da CloudZ'yi meşru regasm.exe ikili dosyası aracılığıyla dağıtıyor. CloudZ, ConfuserEx ile gizlenmiş ve Ocak 2026 ortasında derlenmiş bir .NET yürütülebilir dosyası. Talos, zaman tabanlı uyku kontrolleri, Wireshark, Procmon ve Sysmon gibi güvenlik araçlarının numaralandırılması ve sistem yolu ile ana bilgisayar adında sanal makine göstergelerinin aranması dahil olmak üzere birden fazla anti-analiz katmanı tespit etti. RAT, ikincil yapılandırmayı saldırgan kontrolündeki hazırlık sunucularından ve Pastebin sayfalarından çekiyor, HTTP trafiğini meşru tarayıcı etkinliğiyle karıştırmak için üç kodlanmış kullanıcı aracısı dizesi arasında geçiş yapıyor ve kimlik bilgisi sızdırmadan eklenti yüklemeye ve ekran kaydına kadar çeşitli komutları destekliyor.
Bu teknik, SMS tabanlı çok faktörlü kimlik doğrulama (MFA) için risk yüzeyini telefondan kurumsal yönetilen Windows uç noktasına kaydırarak, yalnızca mobil cihaz güvenliğine odaklanan kontrolleri zayıflatıyor. Cisco Talos, tehdide ilişkin göstergeleri (IoC) ve ClamAV imzalarını yayınlayarak savunmacıların bu etkinliği tespit etmesine ve engellemesine yardımcı oluyor.