- Pesquisadores da Cisco Talos revelaram um Trojan de acesso remoto chamado CloudZ que pode roubar credenciais assim que o usuário abrir o Microsoft Phone Link para conectar o celular ao PC.
- CloudZ usa o plugin malicioso “Pheno” para monitorar continuamente processos do Phone Link e interceptar o banco de dados SQLite do aplicativo, visando extrair senhas, mensagens e possivelmente OTPs.
- O ataque não depende de uma vulnerabilidade específica do app; o malware se beneficia de funções legítimas do Windows para acessar dados entre dispositivos.
- A pesquisa reforça o risco de sincronia entre dispositivos, mostrando que conexões entre PC e celular podem expor informações sensíveis, mesmo com dois dispositivos sob controle do usuário.
- Medidas de proteção incluem baixar software apenas de fontes oficiais, evitar conteúdos piratas, usar antivírus com varreduras em tempo real e evitar conectar dispositivos desconhecidos por USB.
O Cisco Talos revelou a exploração de um Trojan de Acesso Remoto que pode capturar credenciais assim que o usuário lança o Microsoft Phone Link para conectar o celular ao PC. O ataque ocorre sem falhas no aplicativo, usando o recurso legítimo de sincronização entre dispositivos.
O malware, chamado CloudZ, é um RAT modular compilado em .NET, com defesas contra análise e engenharia reversa. Ele carrega instruções na memória, conecta a um servidor C2 e executa scripts PowerShell para coletar e exfiltrar dados.
O componente Pheno monitora ativamente processos do Phone Link no Windows. Ao detectar uma conexão, o Trojan tenta sequestrar o arquivo de banco de dados SQLite do app e, com sucesso, pode roubar credenciais, mensagens SMS e códigos de uso único transmitidos entre telefone e PC.
A falsa atualização do ScreenConnect pode ter sido o ponto de entrada inicial para o malware, segundo os pesquisadores. A partir daí, o CloudZ se instala e passa a funcionar como uma porta de acesso para o atacante.
Por que isso importa diveramente? A pesquisa mostra que malwares podem explorar sincronia entre dispositivos para contornar proteções como autenticação de dois fatores e OTPs, mesmo com os dois aparelhos sob controle do usuário.
Como se proteger
Casos apontam que trojans costumam se disfarçar de software legítimo e podem vir via redes sociais, links de phishing ou sites de software crackeado. Instalar apenas de fontes oficiais e manter antivírus com varreduras em tempo real ajudam a detectar arquivos suspeitos.
Conteúdos pirateados costumam trazer riscos adicionais, incluindo RATs que podem permanecer ocultos por longos períodos. Evitar bundles de software não licenciados reduz a chance de infecção.
Separar as zonas de PC e celular é essencial. Caso um dispositivo esteja comprometido, a disseminação entre eles pode ocorrer pela rede ou por dispositivos USB. Realizar varreduras periódicas de malware ajuda a manter máquinas limpas.
Dicas úteis incluem não conectar o PC a dispositivos desconhecidos ou não confiáveis, incluindo smartphones, tablets e pendrives. Contar com práticas de cibersegurança ao longo da cadeia de dispositivos reforça a defesa.
Entre na conversa da comunidade