Windows Phone Link 被 CloudZ RAT 利用窃取凭证和 OTP

Source: The Hacker News

Overview

网络安全研究人员披露了一起入侵细节，该入侵利用了 CloudZ 远程访问工具（RAT）以及一个未公开的插件 Pheno。攻击的目标是通过滥用 Microsoft Phone Link 应用程序，窃取受害者的凭据，甚至一次性密码（OTP）。

据 Cisco Talos 研究员 Alex Karkins 和 Chetan Raghuprasad 称，CloudZ RAT 和 Pheno 插件专门设计用于劫持 Phone Link 提供的 PC 与手机之间的桥接，使攻击者能够监视正在运行的 Phone Link 进程，并在不在手机上安装恶意软件的情况下拦截敏感的移动数据，如短信和 OTP。

Phone Link 功能

Phone Link（内置于 Windows 10 和 Windows 11）允许用户通过 Wi‑Fi 和蓝牙将电脑与 Android 设备或 iPhone 配对。配对后，用户可以：

• 拨打和接听电话
• 发送和接收短信
• 关闭通知
• 访问同步到 PC 的其他手机数据

然而，这些合法的跨设备同步功能会产生意想不到的攻击面，可能被利用进行凭证窃取和绕过双因素认证。

攻击细节

初始访问与持久化

• 使用一种尚未确定的初始访问方式投放了一个伪造的 ConnectWise ScreenConnect 可执行文件。
• 该伪造可执行文件下载并执行了 .NET loader。
• 一个嵌入的 PowerShell 脚本创建了计划任务以运行恶意的 .NET loader，从而实现持久化。

Loader 与特洛伊木马部署

• 中间 loader 执行硬件和环境检查以规避检测。
• 随后在受感染的机器上部署了模块化的 CloudZ 特洛伊木马。
• 特洛伊木马解密了嵌入的配置，打开到 C2 服务器的加密套接字，并等待 Base64 编码的指令，以进行凭证泄露和插件部署。

Pheno 插件操作

Pheno 插件对受害机器上的 Microsoft Phone Link 应用进行侦察，并将收集的数据写入暂存文件夹中的输出文件。CloudZ 从该暂存文件夹读取数据并转发至 C2 服务器。

数据提取

攻击者访问了 Phone Link 用于存储同步手机数据的 SQLite 数据库，从而能够在不侵入移动设备本身的情况下检索 SMS 短信、一次性密码（OTP）以及其他敏感信息。

CloudZ 命令集

以下命令是 CloudZ 木马支持的：

• pong – 发送心跳响应
• PING! – 发起心跳请求
• CLOSE – 终止木马进程
• INFO – 收集系统元数据
• RunShell – 执行 Shell 命令
• BrowserSearch – 导出网页浏览器数据
• GetWidgetLog – 导出 Phone Link 日志和数据
• plugin – 加载插件
• savePlugin – 将插件保存到磁盘 (C:\ProgramData\Microsoft\whealth\)
• sendPlugin – 将插件上传到 C2 服务器
• RemovePlugins – 移除所有已部署的插件模块
• Recovery – 启用恢复或重新连接
• DW – 执行下载和文件写入操作
• FM – 执行文件管理操作
• Msg – 向 C2 服务器发送消息
• Error – 向 C2 服务器报告错误
• rec – 录制屏幕

视觉插图

结论

此次入侵展示了合法的跨设备同步功能如何被武器化，形成新的凭证窃取路径并绕过双因素身份验证。通过利用 Phone Link 应用程序，攻击者可以在不需要破坏手机本身的情况下收集敏感的移动数据。该活动自至少 2026 年 1 月起被观察到，尚未归因于任何已知的威胁行为者或组织。