Исследователи Cisco Talos описали атаку, в которой троян CloudZ использует Microsoft Phone Link для доступа к синхронизированным данным телефона. Риск касается пользователей Windows 10 и Windows 11, которые связали компьютер со смартфоном: злоумышленники могут охотиться за паролями, SMS и одноразовыми кодами.
Атака активна как минимум с января 2026 года. Talos не связала её с известной группировкой, но уже понятно главное: привычная функция синхронизации между ПК и телефоном стала дополнительным каналом риска.
Как Phone Link оказался в цепочке атаки
Microsoft Phone Link встроен в Windows 10 и Windows 11. Приложение связывает компьютер со смартфоном по Wi-Fi и Bluetooth, после чего пользователь может читать уведомления, отвечать на сообщения, принимать звонки и работать с частью данных телефона прямо на ПК.
Для обычного человека это удобно. Для злоумышленника — шанс не взламывать сам смартфон, а добраться до его синхронизированных данных через заражённый компьютер.
По данным Cisco Talos, CloudZ RAT (Remote Access Trojan — троян удалённого доступа) использует ранее не описанный плагин Pheno. Он проверяет, работает ли Phone Link на компьютере жертвы, и ищет данные, которые приложение хранит после синхронизации. Среди целей — учётные записи и OTP (one-time password — одноразовый пароль), то есть коды для входа и подтверждения операций.
Почему это опасно для двухфакторной защиты
Двухфакторная аутентификация обычно снижает риск кражи аккаунта: одного пароля мало, нужен ещё код из SMS, приложения или уведомления. Но если заражённый компьютер видит синхронизированные сообщения и уведомления с телефона, защита слабеет.
CloudZ не обязан заражать смартфон. Он действует на ПК, где пользователь уже вошёл в почту, мессенджеры, банковские кабинеты или рабочие сервисы. Если Phone Link передаёт на компьютер SMS с кодом, вредоносная программа может попытаться перехватить эти данные на стороне Windows.
Такая схема особенно опасна для тех, кто хранит всё в одном рабочем профиле: браузерные сессии, сохранённые пароли, переписки, удалённый доступ к корпоративным ресурсам. Похожую проблему мы разбирали в материале о том, как уязвимость Ollama грозит утечкой ключей API и переписок: часто атакующим нужен не «супервзлом», а удачная точка рядом с уже открытыми данными.
Что известно о CloudZ и Pheno
Talos пишет, что первоначальный способ проникновения пока не установлен. В описанной цепочке злоумышленники использовали поддельный файл, маскировавшийся под легитимный инструмент удалённой поддержки, а затем запускали загрузчик на .NET. Он проверял среду, пытался закрепиться в системе и загружал модульный CloudZ.
После запуска троян связывался с командным сервером по зашифрованному каналу и ждал инструкций. Среди его возможностей исследователи называют сбор сведений о системе, кражу данных из браузеров, работу с файлами, запись экрана и подключение дополнительных модулей.
Плагин Pheno отвечал именно за разведку вокруг Phone Link. Он собирал сведения о работе приложения и сохранял результаты во временной папке, откуда CloudZ мог отправить их оператору атаки. Важная деталь: вредоносный код не ломал Phone Link как уязвимость в привычном смысле, а злоупотреблял тем, что легальная функция уже хранит и показывает чувствительные данные на компьютере.
Где пользователи чаще всего теряют пароль
Кража одноразового кода редко начинается с самого кода. Обычно сначала жертву подводят к вводу логина и пароля: через поддельную страницу, вредоносное вложение, фальшивое обновление или «служебное» сообщение.
Если вы входите в сервисы через браузер, проверяйте адресную строку и не переходите по рекламным ссылкам из поиска. Запросы вроде «discord login web» или «discord browser» сами по себе безвредны, но мошенники часто покупают похожие домены и копируют страницы входа популярных сервисов. Логика та же, что в атаках с фальшивыми проверками: ранее мы писали, как фальшивая CAPTCHA заражает компьютеры стилером Vidar.
Отдельный риск — публичные сети в кафе, гостиницах и аэропортах. Там лучше не входить в важные аккаунты без защиты соединения; для таких случаев подойдёт сервис безопасного интернет-соединения, который помогает снизить риск перехвата данных в открытых сетях.
Как снизить риск прямо сейчас
CloudZ показывает неприятную тенденцию: атакующие всё чаще бьют не только по «дырявым» программам, но и по удобным функциям, где пользователь сам связал несколько устройств. Полностью отказываться от синхронизации не нужно, но её стоит держать под контролем.
- Проверьте, включён ли Microsoft Phone Link на вашем компьютере. Если вы им не пользуетесь, разорвите связь со смартфоном.
- Не выводите SMS и уведомления с кодами на общий или рабочий ПК, к которому имеют доступ другие люди.
- Обновите Windows, браузер и защитное ПО. Для Windows 11 полезно следить за изменениями безопасности в новых сборках и обновлениях.
- Используйте менеджер паролей и уникальные пароли для важных аккаунтов. Один украденный пароль не должен открывать остальные сервисы.
- По возможности выбирайте подтверждение входа через приложение-аутентификатор или аппаратный ключ, а не через SMS.
- Проверяйте список связанных устройств в почте, мессенджерах, банковских и рабочих сервисах. Удаляйте незнакомые сессии.
- Не запускайте файлы удалённой поддержки, «обновления» и архивы из писем или чатов, если вы сами не запрашивали помощь.
- Если компьютер внезапно начал показывать странные окна, сам открывает консоль, тормозит или просит повторно войти в аккаунты, отключите его от сети и проверьте антивирусом.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.