Intrusion Cybernétique : CloudZ RAT Détourne Phone Link pour Voler des OTP
Des chercheurs en cybersécurité ont récemment dévoilé une intrusion complexe utilisant un outil d’accès à distance, connu sous le nom de CloudZ RAT, associé à un plugin non documenté, nommé Pheno. Cette attaque vise à faciliter le vol d’identifiants et, potentiellement, de mots de passe à usage unique (OTP).
Selon une analyse de Cisco Talos, les chercheurs Alex Karkins et Chetan Raghuprasad ont indiqué que l’objectif principal de cette opération était de dérober les informations sensibles des victimes. Ce qui distingue cette attaque, c’est l’utilisation du plugin Pheno pour exploiter l’application Microsoft Phone Link, permettant ainsi à l’attaquant de surveiller les processus actifs et d’intercepter des données mobiles sensibles, telles que les SMS et les OTP, sans nécessiter l’installation de logiciel malveillant sur le téléphone de la victime.
Cette situation met en lumière comment des fonctionnalités légitimes de synchronisation entre appareils peuvent involontairement créer des vulnérabilités, ouvrant la voie à des vols d’identifiants et au contournement de l’authentification à deux facteurs. Les chercheurs notent que le logiciel malveillant a été actif depuis au moins janvier 2026, sans lien connu avec un groupe de menaces spécifique.
L’application Phone Link, intégrée dans Windows 10 et Windows 11, permet aux utilisateurs de synchroniser leur ordinateur avec des appareils Android ou iPhone via Wi-Fi et Bluetooth. Des acteurs malveillants ont été observés tentant d’exploiter cette application pour confirmer son activité sur un environnement ciblé, puis accéder à une base de données SQLite contenant des données téléphoniques synchronisées.
Le mécanisme d’attaque aurait impliqué une méthode d’accès initiale indéterminée pour infiltrer le système, où un exécutable factice de ConnectWise ScreenConnect a été déposé. Ce dernier télécharge et exécute un chargeur .NET, configurant une tâche planifiée pour maintenir la persistance de l’attaque.
Le chargeur intermédiaire, conçu pour contourner la détection, déploie le cheval de Troie CloudZ sur la machine. Une fois actif, ce dernier établit une connexion chiffrée avec un serveur de commande et de contrôle (C2) et attend des instructions pour exfiltrer des identifiants et implanter des plugins supplémentaires.
Les commandes prises en charge par CloudZ incluent des fonctions variées, telles que l’envoi de réponses de battement cardiaque, l’exécution de commandes shell, et la collecte de métadonnées système.
Les chercheurs de Cisco Talos soulignent que l’attaquant a utilisé le plugin Pheno pour effectuer une reconnaissance de l’application Phone Link sur la machine de la victime, en enregistrant les données dans un fichier de sortie. CloudZ récupère ensuite ces informations pour les envoyer au serveur C2.
Source : Cisco Talos.
