Giriş
Son dönemde siber güvenlik alanında dikkat çekici bir olay meydana geldi. Araştırmacılar, CloudZ uzaktan erişim aracı (RAT) ve Pheno isimli belgelenmemiş bir eklenti kullanarak kimlik bilgisi hırsızlığı hedef alan bir siber saldırının ayrıntılarını açıkladı.
Saldırı Nasıl Çalışıyor?
Bu saldırıda, CloudZ RAT’ın sağladığı işlevsellikler ile Pheno plugin’i, Microsoft’un Phone Link uygulamasını suistimal ederek, kurbanların telefonlarıyla PC’leri arasındaki köprüye müdahale ediyor. Bu yöntem, hedefin SMS ve tek kullanımlık şifreler (OTP’ler) gibi hassas verilere erişim sağlamayı mümkün kılıyor. Saldırının temel özellikleri şunlardır:
- CVE-2026-XXXX: CloudZ RAT’ın kullanıldığı zafiyetler
- Pheno: Belgelenmemiş eklenti ile birlikte kullanımı
- Olayın başlangıcı: En az Ocak 2026’dan beri aktif
Bu durum, yetkili cihaz eşleme özelliklerini kullanarak beklenmedik saldırı yolları oluşturabiliyor ve iki faktörlü kimlik doğrulama mekanizmalarını atlamayı mümkün hale getiriyor.
Etkilenen Sistemler
Saldırı, Windows 10 ve Windows 11 üzerinde çalışan Phone Link uygulamasını hedef alıyor. Kullanıcılar, bu uygulama aracılığıyla Android cihazları veya iPhone’ları ile bilgisayarlarını eşleştirerek arama yapabiliyor, mesaj gönderebiliyor ve bildirimleri yanıtlayabiliyor. Ancak, kötü niyetli aktörler uygulamanın SQLite veritabanı dosyasını kullanarak senkronize edilmiş telefon verilerine erişim sağlıyor.
Çözüm ve Korunma
Saldırı zinciri, belirlenemeyen bir başlangıç erişim yöntemi aracılığıyla başlatılıyor. Kullanılan sahte ConnectWise ScreenConnect çalıştırılabilir dosyası, bir .NET yükleyici indirerek çalışmaya başlıyor ve istenmeyen etkileri azaltmak için bir PowerShell scripti kullanılıyor.
CloudZ RAT’ın sağladığı bazı komutlar şunlardır:
- pong: Kalp atışı yanıtı göndermek
- PING!: Kalp atışı isteği göndermek
- CLOSE: Trojan sürecini sonlandırmak
- INFO: Sistem verilerini toplamak
- BrowserSearch: Tarayıcı verilerini dışa aktarmak
- GetWidgetLog: Phone Link kayıt logs ve verilerini dışa aktarmak
Pheno plugin’i, kurbanın makinelerinde Microsoft Phone Link uygulaması hakkında keşif yapıyor ve elde edilen verileri C2 sunucusuna gönderiyor.
Sonuç
Bu olay, kullanıcıları büyük risk altına sokan yeni bir siber tehdit algısını ortaya koyuyor. Okuyuculara tavsiyemiz; sistemlerini güncellemeleri, güvenlik duvarlarını sağlamlaştırmaları ve gerekirse telefon bağlantılarını devre dışı bırakmalarıdır. Kurban olmamak için dikkatli olun ve her zaman en güncel siber güvenlik önlemlerini uygulayın.
