Windows Phone Link Exploited by CloudZ RAT to Steal Credentials and OTPs

Détournement de l’application « Mobile connecté » par le malware CloudZ

Des cyberattaquants exploitent le cheval de Troie CloudZ RAT et un plugin malveillant inédit nommé Pheno pour dérober des identifiants et des codes de double authentification (OTP) sans compromettre directement le smartphone de la victime.

Points clés :

• Vecteur d’attaque : Utilisation détournée de l’application légitime « Mobile connecté » (Phone Link) de Windows.
• Mécanisme : Le plugin Pheno espionne les processus de l’application pour accéder à la base de données SQLite où sont stockées les données synchronisées (SMS, notifications, OTP).
• Persistance : L’attaque repose sur un premier accès initial (via un faux installateur ConnectWise ScreenConnect), suivi d’un script PowerShell créant une tâche planifiée pour exécuter un chargeur .NET.
• Communication : Le malware utilise une connexion socket chiffrée pour recevoir des instructions en Base64 depuis un serveur de commande et de contrôle (C2).

Vulnérabilités :

• Aucune CVE spécifique n’est associée, car l’attaque repose sur un abus de fonctionnalités légitimes (« Living-off-the-Land ») et l’accès aux fichiers de données locales de l’application.

Recommandations :

• Surveillance des processus : Surveiller toute activité suspecte ou inhabituelle liée à l’application « Mobile connecté » sur les machines professionnelles.
• Gestion des accès : Restreindre les privilèges d’exécution sur les dossiers système, notamment C:\ProgramData\Microsoft\, où le malware tente de stocker ses plugins.
• Sécurité des endpoints : Déployer des solutions de détection (EDR) capables d’identifier les comportements malveillants des scripts PowerShell et des exécutables non signés.
• Authentification : Privilégier des méthodes d’authentification multifacteur (MFA) basées sur des clés physiques (FIDO2) plutôt que sur des codes envoyés par SMS, plus vulnérables à ce type d’interception.

Source