كشف باحثو الأمن السيبراني في Cisco Talos عن تفاصيل هجوم متطور اعتمد على أداة الوصول عن بُعد CloudZ RAT إلى جانب إضافة غير موثقة سابقًا تُعرف باسم Pheno، بهدف سرقة بيانات الاعتماد وربما الرموز المؤقتة (OTPs) المستخدمة في المصادقة الثنائية.
استغلال تطبيق Phone Link كجسر للهجوم
ما يجعل هذا الهجوم فريدًا هو أن المهاجمين لم يستهدفوا الهاتف مباشرة، بل استغلوا تطبيق Microsoft Phone Link المدمج في أنظمة Windows 10 وWindows 11، والذي يتيح للمستخدمين ربط هواتفهم بالحاسوب عبر Wi-Fi وBluetooth لإجراء المكالمات وإرسال الرسائل ومزامنة الإشعارات.
إضافة Pheno صُممت لمراقبة العمليات النشطة الخاصة بـ Phone Link، واعتراض البيانات المتزامنة مثل الرسائل النصية والرموز المؤقتة، دون الحاجة إلى تثبيت برمجيات خبيثة على الهاتف نفسه. هذا يفتح مسارًا جديدًا لتجاوز أنظمة المصادقة الثنائية عبر استغلال مزايا المزامنة الشرعية.
سلسلة الهجوم وآليات التنفيذ
الهجوم، الذي بدأ منذ يناير 2026، اعتمد على سلسلة معقدة من الخطوات:
- إسقاط ملف تنفيذي مزيف لـ ConnectWise ScreenConnect يعمل كناقل أولي.
- تشغيل محمل مكتوب بـ .NET مدعوم بسكربت PowerShell لإنشاء مهمة مجدولة تضمن الاستمرارية.
- المحمل الوسيط يجري فحوصات بيئية لتجنب الاكتشاف، ثم ينشر حصان طروادة CloudZ.
- بعد التنفيذ، يقوم CloudZ بفك تشفير الإعدادات المدمجة، وإنشاء اتصال مشفر بخادم التحكم (C2) في انتظار أوامر مشفرة بـ Base64.
قدرات CloudZ RAT
الأوامر التي يدعمها CloudZ تشمل:
- جمع بيانات النظام (INFO).
- تنفيذ أوامر عبر الطرفية (RunShell).
- استخراج بيانات المتصفح (BrowserSearch).
- تسجيل الشاشة (rec).
- إدارة الملفات (FM).
- تحميل وإدارة الإضافات (plugin, savePlugin, sendPlugin, RemovePlugins).
- استخراج سجلات Phone Link (GetWidgetLog).
إضافة Pheno تقوم بعمليات استطلاع لتطبيق Phone Link، وتكتب البيانات في مجلد مرحلي، ليقوم CloudZ بقراءتها وإرسالها إلى خادم التحكم.
دلالات أمنية
هذا الهجوم يوضح كيف يمكن للميزات الشرعية مثل المزامنة بين الأجهزة أن تتحول إلى مسارات غير متوقعة لسرقة البيانات، دون الحاجة إلى اختراق الهاتف نفسه. كما أنه يبرز خطورة الاعتماد على تطبيقات الربط بين الأجهزة دون وجود ضوابط أمنية قوية، خاصة في بيئات العمل التي تعتمد على المصادقة الثنائية.
