微軟Phone Link應用程式被濫用,惡意軟體CloudZ竊取手機簡訊與OTP
惡意軟體如何濫用Phone Link功能
此惡意程式特別的地方,在於濫用Phone Link應用程式的功能,挾持電腦與手機之間的橋接機制,從而在無須於手機植入惡意程式的情況下,攔截手機上的簡訊或動態密碼等敏感資料。
技術細節與防禦建議
- CloudZ RAT會在系統記憶體執行特定的功能函式,檢查是否在沙箱或是除錯環境,以迴避偵測。
- 該惡意軟體透過挾持使用者電腦與智慧型手機之間的連線,直接從同步的資料庫中竊取敏感資料,包括簡訊和一次性密碼(OTP)。
- Cisco Talos 表示,CloudZ 遠程訪問木馬會濫用Windows 上的Microsoft Phone Link,在用戶將手機連接到電腦時竊取密碼、簡訊內容,甚至可能包括一次性驗證碼。
相關安全建議
移除舊有弱點:在帳戶註冊了更安全的身分驗證器或FIDO MFA 後,應立即至設定中「停用」SMS 驗證,避免其成為攻擊者降級攻擊的破口。