CloudZ 木马利用 Microsoft Phone Link 窃取凭据

关键信息

CloudZ 被描述为一种模块化的 .NET 远程访问木马，具备混淆和反分析能力，包括检测调试器和分析器。Talos 说它会使用恶意的 “Pheno” 插件监控正在运行的 Phone Link 进程，然后尝试劫持该应用的 SQLite 数据库文件，以截获传输中的数据。

资讯摘要

Cisco Talos 研究人员发现了一起 CloudZ 恶意软件活动，它会滥用 Windows 上的 Microsoft Phone Link 来窃取敏感信息。Phone Link 是 Windows 10 和 Windows 11 中预装的应用，早期名为 Your Phone，允许用户通过蓝牙和 Wi‑Fi 将 Android 或 iOS 设备连接到电脑。通过这种连接，用户可以在电脑上接打电话、回复短信、查看通知，而在 Android 上还可以访问相册中的照片。Talos 说明，CloudZ 是一种模块化的远程访问木马，使用 .NET 编译，并通过混淆和反调试等手段抵抗分析。它在执行时会把指令加载到内存中，连接命令与控制服务器，并用 PowerShell 脚本来提取、下载和外传数据。

研究人员没有详细说明其最初入侵方式，但观察到一种感染路径是它伪装成假的 ScreenConnect 应用更新。木马安装到 Windows 电脑后，会利用名为 Pheno 的恶意插件监控 Phone Link 是否处于活动连接状态。只要检测到连接，CloudZ 就会尝试截获该应用的 SQLite 数据库文件，从手机同步到电脑的过程中窃取凭据、短信内容，甚至可能包括一次性验证码（OTP）。Talos 强调，这种攻击并不是利用 Phone Link 的软件漏洞，而是滥用合法的 Windows 功能，这也是许多监控和数据窃取型恶意软件常见的做法。

资讯正文

Cisco Talos 的研究人员披露了一种远程访问木马（RAT）的利用方式：一旦你启动 Microsoft Phone Link 应用，将手机连接到电脑，它就能窃取你的凭据。

Microsoft Phone Link 是什么？Microsoft Phone Link 是一款你可能并不熟悉的应用，但它已预装在 Windows 10 和 11 中。它以前名为 Your Phone，这款应用允许用户通过 Bluetooth 和 Wi-Fi 将手机连接到 Windows PC。

该应用支持 Android 和 iOS，可用于接听电话、在电脑上回复短信以及接收通知。在 Android 上，你还可以查看和分享相机胶卷。

CloudZ 是什么？CloudZ 是一款模块化远程访问木马（RAT），以 .NET 可执行文件形式编译，并配备了多种反分析和反逆向工程防护机制，包括混淆，以及检测其运行环境中的调试器和分析器。

该恶意软件在执行过程中会将指令载入内存，建立与命令与控制（C2）服务器的连接，并执行 PowerShell 脚本，以提取、下载数据并将其外传到攻击者控制的 C2 服务器。

尽管研究人员没有记录任何具体的初始入侵方式，但如果 CloudZ 已感染某台 Windows PC，该木马就可以利用新发现的“Pheno”插件对这些系统进行窥探。Pheno 是 CloudZ 中一个恶意模块，专门用于监控并扫描正在运行的 Phone Link 进程。

一旦 CloudZ 通过 Pheno 的监视能力察觉到存在活动连接，木马就会尝试劫持并拦截 Phone Link 应用的 SQLite 数据库文件。如果成功，CloudZ 就能在信息从智能手机传到 PC 的过程中窃取敏感内容，包括凭据、SMS 短信，以及可能的一次性验证码（OTP）。

这种木马利用的是合法的 Windows 功能，而不是利用应用漏洞；这在许多以监控和数据窃取为目的的恶意软件中都是常见做法。

为什么我应该在意？这项研究提醒我们，恶意软件并不需要感染你的 Android 或 iOS 智能手机，也能危及你手机上的信息。任何形式的连接，无论是 Wi-Fi、Bluetooth，还是在你的家用电脑与其他设备之间建立的链路，都伴随着风险，尤其是在网络犯罪分子不断开发新方法来窃取信息、监视我们或破坏系统的当下。Cisco Talos 的最新研究强调，跨设备同步攻击如何绕过现代安全控制，例如双因素身份验证（2FA）和 OTP 投递。

仅仅因为你同时拥有这两台设备，并不意味着它们都是安全或可信的。

如何保持防护

在这条攻击链中，有一些步骤是我们可以跟进的；在每个阶段，我们都可以采取安全实践和方法，降低自己成为 CloudZ 及类似威胁受害者的风险。另外：我试用了这款免费的 Windows 清理工具，看看它是否能让我的电脑提速——结果它真的做到了。

虽然 Cisco Talos 的研究人员尚不确定最初的攻击向量，但当恶意软件落入一台 Windows 电脑后，它会伪装成一个假的 ScreenConnect 应用更新执行，随后部署 RAT。这种方式给我们提供了几条保持防护的线索：

初始访问点：木马通常会伪装成合法软件传播。它们可能通过社交媒体下载、钓鱼链接，或者在 warez 网站上被找到。你应当只从官方来源下载软件，而且即便如此，也要通过杀毒程序或应用启用实时文件扫描，以检测可疑文件。

盗版内容：木马及相关恶意软件也经常被捆绑在盗版软件中。除非软件是获得授权的，否则你是在让自己的电脑暴露于风险之中，而这类 RAT 可能会在系统中潜伏很长时间而不被发现，直到它们被触发并窃取你的数据。

你还应该意识到 PC 与手机之间桥接功能带来的风险。这些桥接功能确实很有用，但我们需要让每个“区域”都保持干净、避免感染：

交叉污染：如果你的电脑或智能手机中有一台感染了恶意软件，它可能在你不知情的情况下从一台设备跳到另一台设备。木马和蠕虫往往可以在网络和系统之间传播，因此频繁运行恶意软件和杀毒扫描可以让每台机器保持干净。

USB：另一个安全建议是，绝不要将你的设备连接到未知或不受信任的设备——包括智能手机、平板电脑和 USB 存储设备。

来源与参考

1. 原始链接
2. Trojan abuses Microsoft Phone Link app to steal your passwords