CloudZ Zararlı Yazılımı ve Pheno Eklentisi
CloudZ isimli uzak erişim aracı (RAT) yeni bir versiyonu ile Microsoft Phone Link bağlantısını kötüye kullanarak kullanıcıların hassas kodlarını çalmaya başladı. Bu tehdit, siber güvenlik uzmanları tarafından 2023 yılının Ocak ayından bu yana aktif olarak izleniyor ve kötü niyetli aktörlerin amacı kullanıcı kimlik bilgilerini ve geçici şifreleri ele geçirmek.
Saldırı Nasıl Çalışıyor?
Yapılan araştırmalara göre, Pheno adı verilen zararlı eklenti, Microsoft Phone Link uygulamasını kullanarak telefon mesajlarını hedef alıyor. Microsoft Phone Link, Windows 10 ve 11 sistemlerinde yüklü gelen bir uygulama olup kullanıcıların bilgisayarlarından telefonlarına ait çağrıları yanıtlamalarına ve mesajlara göz atmalarına olanak tanıyor. Kötü niyetli aktör, bu uygulamayı kullanarak hedefin mobil cihazına zarar vermeden hassas mesajları ele geçirebiliyor.
Cisco Talos tarafından yapılan bir rapora göre, Pheno aktif Phone Link oturumlarını izliyor ve yerel SQLite veritabanına erişerek SMS ve tek kullanımlık şifreler (OTP) gibi bilgileri hedefliyor. Bu durum, saldırganın mobil cihazı tehlikeye atmadan hassas bilgilere ulaşmasına olanak tanıyor.
Etkilenen Sistemler
CloudZ ile birlikte Pheno eklentisi, aşağıdaki yeteneklere sahip:
- Dosya yönetim işlemleri (silme, indirme, yazma)
- Shell komutlarının çalıştırılması
- Ekran kaydı başlatma
- Eklenti yönetimi (yükleme, kaldırma, diske kaydetme)
- RAT süreçlerinin sonlandırılması
Cisco, CloudZ’ın üç tane önceden tanımlanmış kullanıcı-agent dizesi ile HTTP trafiğini meşru tarayıcı istekleri olarak göstermeye çalıştığını rapor ediyor. Her HTTP isteği, C2 veya sahne sunucusu detaylarının önbelleğe alınmasını engellemek için anti-önbellekleme başlıkları içeriyor.
İlk Erişim Vektörü
Araştırmacılar, saldırının başlangıç vektörünü henüz belirleyemedi, fakat bulaşmanın sahte bir ScreenConnect güncellemesinin çalıştırılmasıyla başladığını ve bunun bir Rust tabanlı yükleyici bıraktığını ortaya çıkardılar. Bunun ardından .NET yükleyicisi devreye giriyor ve CloudZ RAT’ı kurarak kalıcılık sağlıyor.
Yükleyici, analiz yapmayı zorlaştıran kontroller de içeriyor; bu da zaman tabanlı sandbox kaçış adımları, analiz araçlarına yönelik kontroller ve sanal makine ile sandbox ile ilgili dize kontrollerini içeriyor.
Çözüm ve Korunma
Kullanıcıların bu tür saldırılara karşı korunmak için alabilecekleri önlemler:
- SMS tabanlı OTP hizmetlerinden kaçınmak
- Push bildirim gerektirmeyen doğrulayıcı uygulamalar kullanmak
- Daha hassas bilgiler için phishing’e dayanıklı çözümler, örneğin donanım anahtarları kullanmak
Cisco Talos, saldırılara karşı koruma sağlamak için kullanıcıların kullanabileceği özel göstergeler ve zararlı bileşenlere ait URL’ler, hash’ler, alan adları ve IP adresleri yayımlamıştır.
Sonuç
Bu tehdit karşısında kullanıcıların derhal gerekli adımları atması önemlidir. Sistem güncellemeleri yapılmalı, gereksiz portlar kapatılmalı ve şüpheli bağlantılara karşı dikkatli olunmalıdır. Sistem güvenliğinizi artırmak için önerilen adımları mutlaka uygulayın.
