Windows에서 Phone Link 설정이 이 Trojan에 의해 위험에 처할 수 있습니다

Source: Android Authority

TL;DR

• 공격자들이 가짜 ScreenConnect 업데이트를 통해 CloudZ RAT을 배포하고 있으며, 이 업데이트는 조용히 악성코드를 설치합니다.
• 악성코드는 브라우저 자격 증명을 탈취하고 플러그인을 이용해 Microsoft Phone Link에서 데이터를 끌어와, 동기화된 전화와 PC 데이터가 위험에 처합니다.
• PC가 침해되면 전화와 공유된 모든 내용(메시지, OTP 등)이 노출될 수 있습니다. 신뢰할 수 있는 출처에서만 소프트웨어를 설치하는 것이 유일한 방어책입니다.

Attack Overview

Microsoft Phone Link는 전화와 PC를 연결하여 생활을 편리하게 해줍니다. 최근 조사(Cisco Talos를 통해)에서는 이러한 편리함이 어떻게 악용될 수 있는지 보여줍니다.

연구원들은 1월부터 진행 중인 캠페인을 발견했으며, 해커들은 CloudZ RAT이라는 원격 접근 도구를 Windows 시스템에 전달하고 있습니다. 감염 체인은 가짜 ScreenConnect 업데이트에서 시작됩니다. 피해자는 일상적인 업데이트처럼 보이는 설치를 요구받지만, 실제 설치 파일은 악성이며 숨겨진 프로그램을 내려받아 실제 악성코드를 가져옵니다.

설치가 완료되면 CloudZ RAT은:

1. 공격자가 제어하는 명령·제어 서버에 연결됩니다.
2. 저장된 브라우저 자격 증명 등 민감한 데이터를 추출합니다.
3. Microsoft Phone Link를 특별히 겨냥한 **“Pheno”**라는 추가 플러그인을 다운로드합니다.

Impact on Phone Link

Pheno 플러그인은 Phone Link 애플리케이션을 스캔하고, 동기화된 메시지, 알림, 일회용 비밀번호(OTP) 등을 수집해 임시 폴더에 저장합니다. 이후 CloudZ가 이 데이터를 공격자의 서버로 유출합니다. 따라서 Phone Link 연결의 PC 측이 침해되면 전화와 PC 사이에 공유되는 모든 정보가 가로채질 수 있습니다.

Recommendations

• 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하십시오. 공식 공급업체 채널을 통해 업데이트를 확인하세요.
• 활성화된 위협 탐지를 유지하십시오. 안티바이러스 및 안티멀웨어 솔루션을 최신 상태로 유지해 의심스러운 활동을 조기에 차단하세요.
• 감염이 의심될 경우:
  1. 영향을 받은 장치를 네트워크에서 분리합니다.
  2. 문제 해결 전까지 다른 장치와의 동기화를 중단합니다.
  3. 전체 시스템 검사를 실행하고 보안 소프트웨어에서 제공하는 복구 절차를 따릅니다.

위험이 Phone Link를 완전히 포기해야 할 정도는 아니지만, 완전 무위험 기능이라고 생각하는 것은 현명하지 못합니다. 경계를 유지하고 PC를 깨끗하게 관리하는 것이 기기 간에 공유되는 데이터를 보호하는 핵심입니다.