CloudZ: Sprytny trojan, który udaje aktualizację i czyści Twoje konto

Nowe zagrożenie o nazwie CloudZ bierze na celownik użytkowników Windowsa, wykorzystując systemową funkcję Łącze z telefonem do przejmowania wrażliwych danych. Zamiast atakować smartfon, cyberprzestępcy po cichu wykradają jednorazowe kody uwierzytelniające bezpośrednio z bazy danych na Twoim komputerze.

Jak Microsoft Phone Link stał się bramą dla hakerów?

Aplikacja Łącze z telefonem (wcześniej znana jako Your Phone) jest standardowym elementem nowoczesnych systemów Windows. Umożliwia synchronizację powiadomień, połączeń i wiadomości tekstowych między komputerem a smartfonem. Choć rozwiązanie to jest niezwykle wygodne, wiąże się z pewnym ryzykiem. Synchronizowane treści, w tym prywatne SMS-y, są przechowywane lokalnie na dysku twardym w formacie bazy danych SQLite.

Właśnie ten mechanizm wykorzystuje Trojan CloudZ za pomocą nowo odkrytej wtyczki o nazwie Pheno. Szkodliwe oprogramowanie nieustannie monitoruje procesy synchronizacji na zainfekowanym komputerze. Gdy tylko nawiązywane jest połączenie między PC a telefonem, plugin uzyskuje dostęp do pliku bazy danych. Następnie przesyła kody 2FA (dwuetapowej weryfikacji) na serwery napastników.

Sprytny mechanizm infekcji: Fałszywe aktualizacje i kamuflaż

Cyberprzestępcy stawiają na socjotechnikę, dystrybuując złośliwe oprogramowanie pod pozorem aktualizacji popularnego narzędzia do zdalnego serwisu – ScreenConnect. Uruchomienie zmanipulowanego pliku inicjuje wieloetapowy proces ładowania trojana, którego zaprojektowano tak, by unikać wykrycia przez ekspertów.

CloudZ posiada zaawansowane mechanizmy obronne:

• Wykrywanie analizy: Malware sprawdza, czy nie znajduje się w środowisku testowym lub czy na komputerze działają narzędzia monitorujące, takie jak Wireshark lub Fiddler. Jeśli je wykryje, natychmiast przerywa działanie.
• Trwałość w systemie: Jeśli otoczenie zostanie uznane za bezpieczne, trojan zagnieżdża się w systemie poprzez zaplanowane zadania. To pozwala mu na pracę w tle bez wiedzy użytkownika.
• Omijanie antywirusów: Dzięki zaawansowanemu szyfrowaniu i maskowaniu, tradycyjne skanery antywirusowe często dostrzegają zagrożenie dopiero wtedy, gdy dochodzi do masowego wycieku danych.

Dlaczego kradzież haseł SMS jest tak niebezpieczna?

Wykorzystanie legitimizowanych interfejsów systemowych do omijania zabezpieczeń to nowa, groźna tendencja. Przejęcie jednorazowych kodów SMS otwiera przestępcom drogę do przejmowania kont bankowych, skrzynek e-mail oraz innych usług zabezpieczonych dwuskładnikowym uwierzytelnianiem. Pokazuje to również, że nawet jeśli Twój smartfon jest doskonale zabezpieczony, słabym ogniwem może okazać się komputer, z którym go parujesz.

Aby zminimalizować ryzyko infekcji, eksperci zalecają wyłączenie funkcji Łącze z telefonem, jeśli nie jest ona niezbędna do codziennej pracy. Warto również zrezygnować z kodów SMS na rzecz fizycznych kluczy bezpieczeństwa (np. YubiKey) oraz pobierać wszelkie aktualizacje oprogramowania wyłącznie z oficjalnych stron producentów.

Sprawa trojana CloudZ to poważne ostrzeżenie dla wszystkich użytkowników ekosystemu Microsoftu. Wygoda wynikająca z międzyurządzeniowej synchronizacji ma swoją cenę w postaci nowych wektorów ataku. W dobie tak zaawansowanych zagrożeń kluczowe staje się ograniczenie zaufania do automatycznych mechanizmów przesyłania danych i dbanie o higienę cyfrową na każdym urządzeniu, którego używamy.