El móvil parece limpio, pero el dinero desaparece: hackers consiguen tus códigos OTP sin hackear el teléfono
Resultó que la costumbre de buscar atajos terminó beneficiando inesperadamente a los delincuentes.
Los atacantes cada vez con más frecuencia ni siquiera necesitan infectar el teléfono para acceder a los mensajes con códigos de un solo uso para iniciar sesión. Basta con encontrar un punto débil en la vinculación entre el teléfono y el ordenador. Cisco Talos describió un ataque en el que el malware CloudZ RAT aprovechó la aplicación Microsoft Phone Link y un nuevo módulo llamado Pheno para, potencialmente, interceptar SMS, notificaciones y contraseñas de un solo uso.
Según los especialistas de Talos, la campaña maliciosa comenzó a más tardar en enero de este año. Aún no se ha establecido el método inicial de intrusión, pero en los sistemas infectados se ejecutaba un instalador falso de actualización ScreenConnect. Tras su ejecución, el archivo malicioso descargaba un cargador intermedio .NET, que a su vez desplegaba el modular CloudZ RAT.
Phone Link está integrado en Windows 10 y Windows 11 y ayuda a sincronizar el ordenador con el teléfono inteligente. La aplicación muestra en el PC notificaciones, SMS, historial de llamadas y otros datos del teléfono. La información sincronizada se almacena en el equipo en una base de datos SQLite, incluyendo archivos del tipo PhoneExperiences-.db. Fue ese esquema el que intentaron aprovechar los atacantes.
El módulo Pheno comprobaba si en la máquina estaba activa la vinculación Phone Link. Para ello buscaba procesos con los nombres YourPhone, PhoneExperienceHost y Link to Windows, y registraba los identificadores encontrados y las rutas de los archivos en directorios de servicio. Una verificación adicional buscaba un indicio "proxy" asociado al canal local por el que Phone Link transmite datos entre el PC y el teléfono. Si había coincidencia, el módulo marcaba la sesión como potencialmente activa.
CloudZ RAT podía tomar los resultados del trabajo de Pheno desde una carpeta intermedia y enviar los datos al servidor de control. Cisco Talos relaciona esa actividad con un intento de robar credenciales y, posiblemente, códigos de un solo uso procedentes de SMS o de notificaciones de aplicaciones de autenticación. El malware no requería la instalación de una aplicación separada en el teléfono.
El cargador hallado por Cisco Talos estaba escrito en Rust y se hacía pasar por archivos systemupdates.exe o Windows-interactive-update.exe. Para mantenerse en el sistema creó una tarea llamada Windows SystemWindowsApis, ejecutó el componente .NET mediante regasm.exe y sobrevivía a los reinicios. Antes de ejecutarse, CloudZ comprobaba el entorno en busca de indicios de análisis: buscaba Wireshark, Fiddler, Procmon, Sysmon, máquinas virtuales y entornos aislados (sandboxes).
CloudZ guarda su configuración cifrada, la descifra en memoria y se conecta al servidor de control mediante TCP. El malware soporta comandos para recopilar información del sistema, ejecutar comandos de shell, robar datos de navegadores, grabar la pantalla, descargar módulos y gestionar archivos. Para obtener componentes utiliza curl, PowerShell o bitsadmin, lo que le permite operar incluso si faltan algunas herramientas.
Cisco Talos añadió la detección de esta amenaza a ClamAV y Snort, y publicó los indicadores de compromiso en su repositorio de GitHub.