L’app Telephone Hyperlink di Microsoft potrebbe diventare un bersaglio per gli autori di minacce se un PC Home windows connesso viene infettato da malware. Secondo i ricercatori sulla sicurezza, una campagna in corso potenzialmente prende di mira le vittime con un trojan di accesso remoto (RAT) chiamato CloudZ. Secondo quanto riferito, compromette i sistemi e può intercettare informazioni sensibili sincronizzate tra smartphone e PC quando si utilizza l’app Telephone Hyperlink. I ricercatori affermano che l’attacco è iniziato all’inizio di quest’anno e solleva preoccupazioni riguardo a notifiche, messaggi e password monouso (OTP) sincronizzate tra il telefono e il PC.
Che cos’è l’attacco tramite collegamento telefonico CloudZ RAT?
Secondo secondo i ricercatori di sicurezza informatica di Cisco Talos, gli autori delle minacce stanno sfruttando l’app Microsoft Telephone Hyperlink per accedere ai dati mobili sincronizzati su un laptop Home windows compromesso. L’app, in particolare, funge da ponte tra smartphone e PC, consentendo agli utenti di accedere alle notifiche, ai messaggi e alle chiamate del proprio telefono direttamente dai propri laptop.
I ricercatori hanno scoperto che gli aggressori stanno distribuendo un malware modulare chiamato CloudZ RAT, insieme a un plug-in aggiuntivo denominato “Pheno”. Secondo il publish sul weblog, il plug-in esegue la scansione specifica dei sistemi per le sessioni di collegamento telefonico attive e tenta di monitorare i processi correlati come “YourPhone”, “PhoneExperienceHost” e “Hyperlink a Home windows”.
Una volta rilevata una connessione Telephone Hyperlink attiva, gli aggressori possono potenzialmente intercettare i file del database SQLite dell’app, incluso “PhoneExperiences-*.db”, che secondo quanto riferito contiene messaggi SMS sincronizzati, registri delle chiamate e cronologia delle notifiche. I ricercatori affermano che ciò potrebbe esporre informazioni sensibili come OTP e notifiche di autenticazione sincronizzate tra un telefono e un PC.
Come funziona l’attacco tramite collegamento telefonico CloudZ RAT
Talos afferma che la catena di intrusioni inizia con le vittime che vengono indotte con l’inganno a installare quello che sembra essere un legittimo aggiornamento del software program ScreenConnect. Secondo quanto riferito, il falso programma di installazione rilascia un caricatore dannoso basato su Rust mascherato da nomi di file come “systemupdates.exe” o “Home windows-interactive-update.exe”.
Una volta eseguito, il caricatore installa un componente .NET intermedio. Si cube che questo alla nice distribuisca il malware dannoso CloudZ RAT sul sistema. Può decrittografare i dati di configurazione, connettersi a server controllati dagli aggressori e accedere a una modalità di comando in grado di scaricare plug-in e rubare informazioni.
In termini semplici, il falso file di aggiornamento, una volta aperto, installa silenziosamente un altro programma nascosto sul PC. Questo programma quindi scarica e installa il malware CloudZ. Una volta attivo, il malware si connette ai server controllati dagli hacker e attende istruzioni. Può quindi scaricare strumenti dannosi aggiuntivi, monitorare l’attività sul dispositivo e rubare informazioni sensibili dal sistema infetto.
I ricercatori hanno inoltre notato che CloudZ utilizza various tecniche di evasione per evitare il rilevamento, tra cui l’offuscamento e i controlli anti-debug. Secondo quanto riferito, ruota le stringhe dello user-agent per mascherare il traffico dannoso all’interno dell’attività legittima del browser. Il malware utilizza più metodi di fallback, tra cui curl, PowerShell e bitsadmin, per scaricare i payload.
Cosa dovrebbero sapere gli utenti
I ricercatori hanno avvertito che, poiché Telephone Hyperlink rispecchia notifiche e messaggi tra dispositivi, un PC infetto potrebbe potenzialmente esporre conversazioni non-public, avvisi di autenticazione e codici OTP sincronizzati da un telefono. Secondo Talos, il malware memorizza i dati di ricognizione raccolti in cartelle di staging temporanee prima di esportarli su server controllati dagli aggressori.
Secondo quanto riferito, il plug-in Pheno potrebbe anche verificare se Telephone Hyperlink sta instradando attivamente il traffico attraverso una connessione proxy locale prima di tentare di monitorare i dati sincronizzati. I ricercatori consigliano di scaricare gli aggiornamenti software program solo da fonti attendibili e di mantenere la protezione antivirus abilitata sui propri PC per rilevare eventuali attività sospette.
