Eater
Cybersecurity-onderzoekers hebben een nieuwe aanval onthuld waarbij het CloudZ Remote Access Tool (RAT) en een eerder onbekende plugin, genaamd Pheno, werden ingezet om inloggegevens te stelen.
Volgens Cisco Talos-onderzoekers Alex Karkins en Chetan Raghuprasad was het doel van de aanval om gebruikersnamen, wachtwoorden en mogelijk ook eenmalige wachtwoorden (OTP’s) te bemachtigen.
Wat deze aanval bijzonder maakt, is dat CloudZ via de Pheno-plugin misbruik maakt van de Microsoft Phone Link-applicatie. Deze app vormt normaal gesproken een brug tussen pc en telefoon. Door die verbinding te kapen, kan Pheno actieve Phone Link-processen monitoren en gevoelige mobiele gegevens zoals SMS-berichten en OTP’s onderscheppen – zonder dat er malware op de telefoon zelf geïnstalleerd hoeft te worden.
Deze bevindingen tonen hoe legitieme synchronisatiefuncties tussen apparaten nieuwe kwetsbaarheden kunnen openen. Aanvallers kunnen zo inloggegevens stelen en zelfs tweefactorauthenticatie omzeilen, zonder de mobiele telefoon zelf te compromitteren.
De malware is sinds ten minste januari 2026 in gebruik en maakt deel uit van een lopende aanval. Tot op heden is de groep of dader achter deze aanval nog niet geïdentificeerd.
Microsofts Phone Link, geïntegreerd in Windows 10 en Windows 11, stelt gebruikers in staat hun computer te koppelen aan een Android- of iOS-telefoon via Wi-Fi en Bluetooth. Zo kunnen zij oproepen maken en ontvangen, berichten sturen en meldingen beheren.
Onbekende aanvallers proberen deze applicatie te misbruiken met CloudZ RAT en de Pheno-plugin om activiteiten van Phone Link te detecteren en toegang te krijgen tot de SQLite-database waarin synchronisatiegegevens van de telefoon worden opgeslagen.
De aanval begint vermoedelijk met een nog onbekende manier van binnenkomen, gevolgd door het plaatsen van een nep ConnectWise ScreenConnect-bestand. Dit bestand downloadt en start een .NET-loader, die met een ingesloten PowerShell-script een geplande taak creëert om de malware persistent te maken.
De loader voert checks uit om detectie te vermijden en zet CloudZ trojan-modules op het systeem. Na uitvoering ontsleutelt de trojan zijn configuratie, maakt een beveiligde verbinding met zijn command-and-control-server en wacht op opdrachten, waarmee hij inloggegevens steelt en extra plugins installeert.
CloudZ ondersteunt diverse commando’s, waaronder:
- pong: heartbeat antwoorden
- PING!: heartbeat verzoeken
- CLOSE: stopzetting trojan
- INFO: verzamelen systeemgegevens
- RunShell: uitvoeren van shell-commando’s
- BrowserSearch: stelen van browserdata
- GetWidgetLog: stelen van Phone Link logbestanden
- plugin: laden van een plugin
- savePlugin: opslaan van een plugin op de schijf
- sendPlugin: uploaden van een plugin naar C2-server
- RemovePlugins: verwijderen van plugins
- Recovery: herstel- of reconnectie-actie
- DW en FM: downloaden en bestandsbeheer
- Msg en Error: verzenden van berichten of foutmeldingen naar C2
- rec: schermopnames maken
“De aanvaller gebruikte de Pheno-plugin om de Phone Link-app te verkennen op de computer van het slachtoffer,” aldus Talos. “Deze plugin verzamelt gegevens over de app en schrijft ze naar een bestand in een tijdelijke map. CloudZ leest deze data en stuurt ze door naar de command-and-control-server.”
TeJu
