Uma nova versão da ferramenta de acesso remoto (RAT) **CloudZ** está implantando um plugin malicioso inédito chamado **Pheno**, que sequestra a conexão do **Microsoft Phone Link** para roubar códigos confidenciais de dispositivos móveis. O malware foi descoberto em uma intrusão que está ativa desde pelo menos janeiro, e pesquisadores acreditam que o objetivo do ator de ameaça era roubar credenciais e senhas temporárias.  O **Microsoft Phone Link** vem pré-instalado no Windows 10 e 11, permitindo que os usuários façam chamadas, enviem mensagens de texto e visualizem notificações do celular (Android e iOS) diretamente de seus computadores. Ao explorar este aplicativo, os atacantes podem interceptar mensagens confidenciais sem comprometer diretamente o telefone móvel do alvo. ### Detalhes do Plugin Pheno Pesquisadores da **Cisco Talos** relataram hoje que o **Pheno** monitora sessões ativas do **Phone Link** e acessa seu banco de dados SQLite local, que pode conter SMS e senhas de uso único (OTPs). Isso fornece aos atacantes acesso a informações confidenciais sem a necessidade de comprometer o dispositivo móvel. "Com uma atividade confirmada do Phone Link na máquina da vítima, o atacante que utiliza o **CloudZ** RAT pode potencialmente interceptar o arquivo do banco de dados SQLite do aplicativo Phone Link na máquina da vítima, comprometendo potencialmente mensagens OTP baseadas em SMS e outras mensagens de notificação de aplicativos autenticadores", afirmou a **Cisco Talos** em seu relatório.  *Pheno escaneando por links de telefone ativos. Fonte: Cisco Talos* ### Capacidades do CloudZ RAT Além das capacidades do plugin **Pheno**, o **CloudZ** pode atingir dados armazenados em navegadores web, perfilar sistemas host e executar comandos para: * Operações de gerenciamento de arquivos (excluir, baixar e escrever) * Execução de comandos de shell * Iniciar gravação de tela * Gerenciamento de plugins (carregar, remover, salvar em disco) * Encerrar o processo do RAT A **Cisco** relata que o **CloudZ** alterna entre três strings de user-agent codificadas para fazer o tráfego HTTP parecer requisições legítimas de navegador. Cada requisição HTTP inclui cabeçalhos anti-cache para impedir que proxies/CDNs armazenem em cache detalhes do servidor C2 ou de staging. ### Cadeia de Infecção Os pesquisadores ainda não identificaram o vetor de acesso inicial, mas descobriram que a infecção começa quando a vítima executa uma atualização falsa do **ScreenConnect**, que descarrega um loader baseado em Rust. Isso é seguido pela implantação de um loader .NET, que instala o **CloudZ** RAT e estabelece persistência por meio de uma tarefa agendada. O loader .NET também inclui verificações anti-análise, como etapas de evasão de sandbox baseadas em tempo, verificações de ferramentas de análise como **Wireshark**, **Fiddler**, **Procmon** e **Sysmon**, e verificações de strings relacionadas a VM e sandbox.  *Verificações de ambiente do loader. Fonte: Cisco Talos* ### Mitigação Para se defender contra tais ataques, os usuários devem evitar serviços de OTP baseados em SMS e usar aplicativos autenticadores que não exijam notificações push que possam ser interceptadas. Para informações mais confidenciais, recomenda-se a mudança para soluções resistentes a phishing, como chaves de hardware. A **Cisco Talos** publicou um conjunto de indicadores de comprometimento (IOCs), incluindo URLs, hashes de componentes maliciosos, domínios e endereços IP, que os defensores podem usar para proteger seus ambientes. <div> <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="imagem do artigo"></a> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% do que a Mythos encontrou ainda não foi corrigido.</a></h2> <p>A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando.</p> <p>No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Garanta sua Vaga</a></p> </div> </div>