Una nueva versión de la herramienta de acceso remoto (RAT) **CloudZ** está desplegando un plugin malicioso nunca antes visto llamado **Pheno** que secuestra la conexión de **Microsoft Phone Link** para robar códigos sensibles de dispositivos móviles. El malware fue descubierto en una intrusión que ha estado activa desde al menos enero, y los investigadores creen que el propósito del actor de amenazas era robar credenciales y contraseñas temporales.  **Microsoft Phone Link** viene preinstalado en Windows 10 y 11, lo que permite a los usuarios realizar llamadas, enviar mensajes de texto y ver notificaciones móviles (Android y iOS) directamente desde su computadora. Al explotar esta aplicación, los atacantes pueden interceptar mensajes sensibles sin comprometer directamente el teléfono móvil del objetivo. ### Detalles del Plugin Pheno Investigadores de **Cisco Talos** informaron hoy que **Pheno** monitorea las sesiones activas de **Phone Link** y accede a su base de datos local SQLite, que puede contener SMS y contraseñas de un solo uso (OTPs). Esto proporciona a los atacantes acceso a información sensible sin necesidad de comprometer el dispositivo móvil. "Con una actividad confirmada de Phone Link en la máquina de la víctima, el atacante que utiliza **CloudZ** RAT puede potencialmente interceptar el archivo de la base de datos SQLite de la aplicación Phone Link en la máquina de la víctima, comprometiendo potencialmente mensajes OTP basados en SMS y otros mensajes de notificación de aplicaciones autenticadoras", declararon **Cisco Talos** en su informe.  *Pheno escaneando enlaces de teléfono activos. Fuente: Cisco Talos* ### Capacidades de CloudZ RAT Además de las capacidades del plugin **Pheno**, **CloudZ** puede dirigirse a datos almacenados en navegadores web, perfilar sistemas host y ejecutar comandos para: * Operaciones de gestión de archivos (eliminar, descargar y escribir) * Ejecución de comandos de shell * Iniciar grabación de pantalla * Gestión de plugins (cargar, eliminar, guardar en disco) * Terminar el proceso RAT **Cisco** informa que **CloudZ** rota entre tres cadenas de user-agent codificadas para que el tráfico HTTP parezca solicitudes legítimas del navegador. Cada solicitud HTTP incluye encabezados anti-caché para evitar que proxies/CDNs almacenen en caché detalles del servidor C2 o de staging. ### Cadena de Infección Los investigadores aún no han identificado el vector de acceso inicial, pero descubrieron que la infección comienza cuando la víctima ejecuta una actualización falsa de **ScreenConnect**, que deja caer un cargador basado en Rust. Esto es seguido por el despliegue de un cargador .NET, que instala el **CloudZ** RAT y establece persistencia a través de una tarea programada. El cargador .NET también incluye verificaciones anti-análisis, como pasos de evasión de sandbox basados en tiempo, verificaciones de herramientas de análisis como **Wireshark**, **Fiddler**, **Procmon** y **Sysmon**, y verificaciones de cadenas relacionadas con VM y sandbox.  *Verificaciones del entorno del cargador. Fuente: Cisco Talos* ### Mitigación Para defenderse contra tales ataques, los usuarios deben evitar los servicios OTP basados en SMS y usar aplicaciones autenticadoras que no requieran notificaciones push que puedan ser interceptadas. Para información más sensible, se recomienda cambiar a soluciones resistentes al phishing como las llaves de hardware. **Cisco Talos** ha publicado un conjunto de indicadores de compromiso (IOCs), que incluyen URLs, hashes para componentes maliciosos, dominios y direcciones IP, que los defensores pueden usar para proteger sus entornos. <div> <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">El 99% de lo que Mythos encontró sigue sin parchear.</a></h2> <p>La IA encadenó cuatro zero-days en un exploit que eludió tanto los sandboxes del renderizador como del sistema operativo. Se avecina una ola de nuevos exploits.</p> <p>En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Reclama tu Lugar</a></p> </div> </div>