CloudZ malware abuses Microsoft Phone Link to steal SMS and OTPs
A new version of the CloudZ remote access tool (RAT) is deploying a previously unseen malicious plugin called Pheno that hijacks the Microsoft Phone Link connection to steal sensitive codes from mobile devices. [...]
Der Artikel beschreibt eine neue Version des CloudZ Remote Access Tool, die ein bisher nicht gesehenes bösartiges Plugin namens Pheno einsetzt. Das Plugin missbraucht Microsoft Phone Link, um SMS und OTPs von mobilen Geräten zu stehlen. Weitere technische Details sind im Auszug nicht enthalten.
Nutzer von Microsoft Phone Link in Umgebungen, in denen CloudZ-RAT-Infektionen auftreten könnten.
Diebstahl von SMS und OTPs kann Account-Schutzmechanismen schwächen und Folgezugriffe ermöglichen.
Ein kompromittiertes System nutzt Phone Link, um SMS- und OTP-Codes von verbundenen Mobilgeräten abzugreifen.
Phone-Link-Nutzung prüfen, CloudZ- und Pheno-bezogene Erkennung aktualisieren und verdächtige Phone-Link-Zugriffe untersuchen.
- ▸Defensiver Check 1: Prüfen, wo Microsoft Phone Link in der Organisation aktiv genutzt wird.
- ▸Defensiver Check 2: Endpoint-Telemetrie auf CloudZ-RAT- oder unbekannte Plugin-Aktivität überwachen.
- ▸Defensiver Check 3: Authentifizierungslogs auf OTP-basierte Anmeldungen nach verdächtiger Endpoint-Aktivität prüfen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Collection | T1119 Automated Collection | Low | Der Artikel beschreibt den Diebstahl von SMS und OTPs; konkrete Sammelmechanismen sind nicht angegeben. |
| Credential Access | T1111 Multi-Factor Authentication Interception | Medium | Das Pheno-Plugin stiehlt OTPs über Microsoft Phone Link. |
- IOCs sind nicht im Artikel angegeben.
- Initialer Infektionsvektor ist nicht angegeben.
- Betroffene Versionen von Microsoft Phone Link sind nicht angegeben.