Le malware CloudZ exploite Microsoft Phone Link pour voler les SMS et les OTP

Le malware CloudZ exploite Microsoft Phone Link pour voler les SMS et les OTP

Les chercheurs de Cisco Talos ont détecté une variante récente du cheval de Troie d’accès à distance CloudZ, équipée d’un module inédit nommé Pheno. Ce plugin malveillant exploite la connexion Microsoft Phone Link pour s’emparer des messages sensibles sur les smartphones des victimes.

Active au moins depuis janvier, cette campagne vise principalement les identifiants et les mots de passe temporaires. L’application Phone Link, préinstallée sur Windows 10 et Windows 11, synchronise les appels, les SMS et les notifications des appareils mobiles Android ou iOS avec l’ordinateur.

Pheno scrute les sessions actives de Phone Link et fouille sa base de données locale au format SQLite, susceptible de renfermer des SMS ainsi que des mots de passe à usage unique (OTP). L’attaquant accède ainsi aux données critiques sans infecter le téléphone.

Pheno scanning for active phone links

Pheno scanning for active phone links
Source: Cisco Talos

Outre les fonctions de Pheno, CloudZ extrait des informations des navigateurs web, recense les ressources du système hôte et lance diverses commandes : gestion de fichiers (suppression, téléchargement, écriture), exécution de commandes shell, enregistrement d’écran, gestion des plugins (chargement, suppression, sauvegarde) ou arrêt du processus malveillant.

Pour masquer son trafic HTTP, CloudZ alterne trois chaînes d’user-agent prédéfinies et ajoute des en-têtes anti-mise en cache, évitant la détection par les proxys ou CDN.

L’infection débute par l’exécution d’une fausse mise à jour de ScreenConnect, qui dépose un chargeur en Rust. Celui-ci déclenche un second chargeur en .NET, responsable de l’installation de CloudZ et de sa persistance via une tâche planifiée. Ce chargeur intègre des mécanismes d’évasion : vérifications temporelles contre les sabliers, détection d’outils comme Wireshark, Fiddler, Procmon ou Sysmon, et recherches de chaînes liées aux machines virtuelles.

The loader's environment checks

The loader’s environment checks
Source: Cisco Talos

Face à ces menaces, les experts préconisent d’abandonner les OTP par SMS au profit d’applications d’authentification sans notifications push. Pour les données hautement sensibles, les solutions résistantes au phishing, comme les clés matérielles, offrent une protection supérieure.