CloudZ похищает учётные данные при запуске Microsoft Phone Link на Windows

Cisco Talos обнаружил модульный RAT CloudZ, активный как минимум с января 2026 года: он отслеживает процесс Phone Link на Windows и при подключении телефона пытается перехватить SQLite‑файл приложения, чтобы украсть учётные данные, SMS и одноразовые коды.

Исследователи Cisco Talos зафиксировали Remote Access Trojan (RAT) под названием CloudZ, который перехватывает данные в момент установления связи между смартфоном и ПК через Microsoft Phone Link. В опубликованном материале датой выпуска указано 5 мая 2026 года; кампания активна по меньшей мере с января 2026 года. По оценке аналитиков, злоумышленники получают доступ к передаваемым данным при фактическом подключении устройств, а не обязательно через компрометацию телефона.

NET‑исполняемое приложение Microsoft Phone Link, предустановленное в Windows 10 и 11, соединяет телефон с ПК по Bluetooth и Wi‑Fi и поддерживает Android и iOS. Через приложение на ПК можно принимать звонки, отвечать на SMS, получать уведомления; для Android доступна также галерея камеры. Эти возможности служат точкой соприкосновения, когда CloudZ пытается извлечь полезную информацию. NET‑модуль CloudZ является модульным исполняемым файлом с мерами защиты от анализа и отладки: обфускацией, детекцией дебаггеров и профайлеров. После запуска вредоносный модуль загружает инструкции в память, устанавливает связь с командно‑контрольным (C2) сервером и выполняет PowerShell‑скрипты для извлечения и отправки данных с заражённой машины.

В наблюдаемой кампании CloudZ не эксплуатировал уязвимость Phone Link; вместо этого злоумышленники злоупотребляют стандартными возможностями Windows. Компонент с именем Pheno непрерывно отслеживает активные процессы Phone Link и в момент попытки подключения телефона пытается получить доступ к файлу SQLite базы данных приложения. Поскольку перехват происходит на стороне ПК, такая тактика позволяет обходить механизмы двухфакторной аутентификации и доставку одноразовых паролей (OTP).

При успешном извлечении файла SQLite CloudZ может получить учётные данные, тексты SMS и возможные одноразовые коды, передающиеся между устройствами. Это означает, что контроль над Windows‑хостом подрывает защиту связанного телефона: владение обоими устройствами не гарантирует безопасность канала синхронизации. Для разработчиков клиент‑серверных и кросс‑устройственных решений важно учитывать риск локального перехвата и ограничивать доступ к локальным базам данных и каналам обмена.

Cisco Talos отмечает, что первоначальная точка проникновения на ПК в задокументированном эпизоде установлена не полностью; исследователи зафиксировали развертывание через ложное обновление ScreenConnect, после чего был установлен RAT. В отчёте подчёркивается, что в цепочке атаки есть этапы, которые можно прервать: рекомендуется проявлять осторожность при неожиданных обновлениях, сокращать привилегии приложений и обращаться к публикациям Cisco Talos и специалистам по безопасности для детальных рекомендаций по реагированию на инциденты.