您的 Phone Link 设置在 Windows 上可能受到此特洛伊木马的威胁

Source: Android Authority

TL;DR

• 攻击者通过伪造的 ScreenConnect 更新在悄无声息地安装恶意软件，从而传播 CloudZ RAT。
• 该恶意软件能够窃取浏览器凭据，甚至通过插件获取 Microsoft Phone Link 中的数据，使同步的手机和电脑数据面临风险。
• 如果你的电脑被攻陷，任何与手机共享的内容，包括消息和一次性密码（OTP），都可能被泄露。唯一的防范办法是仅从可信来源安装软件。

Attack Overview

Microsoft Phone Link 的设计初衷是通过将手机链接到 PC让生活更便捷。最近的一项调查（Cisco Talos 报告）显示，这种便利也可能被利用。

研究人员发现了一场自今年一月起持续进行的攻击活动，黑客向 Windows 机器投放名为 CloudZ RAT 的远程访问工具。感染链的起点是一个伪造的 ScreenConnect 更新。受害者会被提示安装看似常规的更新，但实际安装程序是恶意的，会放置一个隐藏程序去下载真正的恶意软件。

一旦安装，CloudZ RAT 将：

1. 连接到攻击者控制的指挥与控制服务器。
2. 提取敏感数据，如已保存的浏览器凭据。
3. 下载一个额外插件——名为 “Pheno”——专门针对 Microsoft Phone Link。

Impact on Phone Link

Pheno 插件会扫描 Phone Link 应用，收集数据（包括同步的消息、通知以及一次性密码），并将其存储在临时文件夹中。随后 CloudZ 将这些数据外泄到攻击者的服务器。因此，如果 Phone Link 连接的 PC 端被攻陷，手机与 PC 之间共享的任何信息都可能被拦截。

Recommendations

• 仅从可信来源下载软件。 通过官方渠道验证更新。
• 保持威胁检测活跃。 确保杀毒软件和反恶意软件保持最新，以便及时标记可疑活动。
• 如果怀疑感染：
  1. 将受影响的设备从网络中断开。
  2. 在问题解决前停止与其他设备的同步。
  3. 运行完整系统扫描，并按照安全软件提供的修复步骤进行处理。

虽然此风险并不意味着必须完全放弃使用 Phone Link，但将其视为毫无风险的功能显然不明智。保持警惕并确保 PC 端的安全是保护跨设备共享数据的关键。