Une nouvelle version de l'outil d'accès à distance (RAT) **CloudZ** déploie un plugin malveillant inédit appelé **Pheno** qui détourne la connexion **Microsoft Phone Link** pour voler des codes sensibles depuis les appareils mobiles. Le malware a été découvert lors d'une intrusion active depuis au moins janvier, et les chercheurs estiment que l'objectif de l'acteur de la menace était de voler des identifiants et des codes d'authentification temporaires.  **Microsoft Phone Link** est préinstallé sur Windows 10 et 11, permettant aux utilisateurs de passer des appels, d'envoyer des SMS et de consulter les notifications mobiles (Android et iOS) directement depuis leur ordinateur. En exploitant cette application, les attaquants peuvent intercepter des messages sensibles sans compromettre directement le téléphone mobile de la cible. ### Détails du plugin Pheno Les chercheurs de **Cisco Talos** ont rapporté aujourd'hui que **Pheno** surveille les sessions **Phone Link** actives et accède à sa base de données SQLite locale, qui peut contenir des SMS et des mots de passe à usage unique (OTP). Cela donne aux attaquants accès à des informations sensibles sans avoir besoin de compromettre l'appareil mobile. « Avec une activité Phone Link confirmée sur la machine de la victime, l'attaquant utilisant le RAT **CloudZ** peut potentiellement intercepter le fichier de la base de données SQLite de l'application Phone Link sur la machine de la victime, compromettant potentiellement les messages OTP basés sur SMS et d'autres messages de notification d'application d'authentification », ont déclaré **Cisco Talos** dans leur rapport.  *Pheno scanne les liens téléphoniques actifs. Source : Cisco Talos* ### Capacités du RAT CloudZ En plus des capacités du plugin **Pheno**, **CloudZ** peut cibler les données stockées dans les navigateurs web, profiler les systèmes hôtes et exécuter des commandes pour : * Opérations de gestion de fichiers (supprimer, télécharger et écrire) * Exécution de commandes shell * Démarrer l'enregistrement d'écran * Gestion des plugins (charger, supprimer, sauvegarder sur disque) * Terminer le processus RAT **Cisco** rapporte que **CloudZ** alterne entre trois chaînes user-agent codées en dur pour faire apparaître le trafic HTTP comme des requêtes de navigateur légitimes. Chaque requête HTTP inclut des en-têtes anti-mise en cache pour empêcher les proxys/CDN de mettre en cache les détails du serveur C2 ou de staging. ### Chaîne d'infection Les chercheurs n'ont pas encore identifié le vecteur d'accès initial, mais ils ont découvert que l'infection commence lorsque la victime exécute une fausse mise à jour **ScreenConnect**, qui dépose un chargeur basé sur Rust. Ceci est suivi par le déploiement d'un chargeur .NET, qui installe le RAT **CloudZ** et établit la persistance via une tâche planifiée. Le chargeur .NET inclut également des vérifications anti-analyse, telles que des étapes d'évasion de sandbox basées sur le temps, des vérifications d'outils d'analyse comme **Wireshark**, **Fiddler**, **Procmon** et **Sysmon**, et des vérifications de chaînes liées aux VM et aux sandbox.  *Les vérifications d'environnement du chargeur. Source : Cisco Talos* ### Atténuation Pour se défendre contre de telles attaques, les utilisateurs devraient éviter les services OTP basés sur SMS et utiliser des applications d'authentification qui ne nécessitent pas de notifications push susceptibles d'être interceptées. Pour les informations plus sensibles, il est recommandé de passer à l'utilisation de solutions résistantes au phishing telles que les clés matérielles. **Cisco Talos** a publié un ensemble d'indicateurs de compromission (IOC), y compris des URL, des hachages pour les composants malveillants, des domaines et des adresses IP, que les défenseurs peuvent utiliser pour protéger leurs environnements. <div> <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% de ce que Mythos a trouvé n'est toujours pas corrigé.</a></h2> <p>L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive.</p> <p>Au Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Réservez votre place</a></p> </div> </div>