CloudZ malware abuses Microsoft Phone Link to steal SMS and OTPs

1 minute de lecture

Mis à jour : May 05, 2026

Menace CloudZ : Détournement de Microsoft Phone Link pour l’exfiltration d’OTPs

Le logiciel malveillant CloudZ intègre désormais un plugin baptisé « Pheno », capable d’exploiter la connexion établie par Microsoft Phone Link pour dérober des codes d’authentification (OTP) et des SMS directement depuis la base de données SQLite sur les machines sous Windows 10 et 11. Cette méthode permet aux attaquants de contourner l’authentification multifacteur sans avoir besoin d’infecter physiquement le téléphone mobile de la victime.

Points clés :

Mode opératoire : L’infection initiale repose sur une fausse mise à jour de « ScreenConnect », déployant une chaîne de chargeurs (Rust puis .NET) utilisant des techniques d’évasion (détection de machines virtuelles, analyseurs réseau et outils de débogage).
Capacités du malware : Outre l’interception des SMS/OTP via Pheno, CloudZ offre des fonctions de RAT (Remote Access Tool) classiques : gestion de fichiers, exécution de commandes shell, enregistrement d’écran et vol de données de navigateurs.
Persistance : Le malware établit sa persistance sur le système via des tâches planifiées.
Vulnérabilités : Aucune CVE spécifique n’est associée, l’attaque repose sur le détournement d’une fonctionnalité légitime (Phone Link) et l’accès local à ses fichiers de base de données non chiffrés.

Recommandations :

Abandonner le SMS : Privilégier les applications d’authentification basées sur des tokens TOTP plutôt que les codes envoyés par SMS ou les notifications push vulnérables à l’interception.
Authentification forte : Utiliser des clés de sécurité matérielles (FIDO2/WebAuthn), insensibles au hameçonnage et à l’interception logicielle.
Défense proactive : Surveiller les indicateurs de compromission (IoC) fournis par Cisco Talos, notamment les domaines C2, les adresses IP et les hashs des composants malveillants.
Sécurité des terminaux : Maintenir les solutions de détection (EDR/XDR) à jour pour identifier les comportements suspects liés aux processus de chargement .NET et aux accès inhabituels aux fichiers de Phone Link.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CloudZ malware abuses Microsoft Phone Link to steal SMS and OTPs

Menace CloudZ : Détournement de Microsoft Phone Link pour l’exfiltration d’OTPs

Partager sur

Vous pourriez aimer

Weaver E-cology RCE Flaw CVE-2026-22679 Actively Exploited via Debug API

Exploitation active de la faille RCE dans Weaver E-cology

Weaver E-cology critical bug exploited in attacks since March

Exploitation active de la faille critique dans Weaver E-cology

We Scanned 1 Million Exposed AI Services. Heres How Bad the Security Actually Is

Insécurité critique des infrastructures d’IA auto-hébergées

Vimeo data breach exposes personal information of 119,000 people

Fuite de données chez Vimeo : 119 000 utilisateurs exposés via Anodot