Bleeping Computer сообщил об активности CloudZ с января 2026 года
Исследователи выявили новый троян CloudZ, который атакует компьютеры с Windows 10 и Windows 11. Ресурс Bleeping Computer сообщил, что вредоносное ПО активно с января 2026 года и нацелено на кражу пользовательских данных. CloudZ использует плагин Pheno и применяет механизмы уклонения от обнаружения.
CloudZ использует Phone Link от Microsoft для доступа к данным
В этой атаке CloudZ задействует приложение Phone Link от Microsoft. Приложение установлено по умолчанию на мобильных устройствах и позволяет отображать на компьютере звонки, сообщения и уведомления телефона. Phone Link сохраняет эти данные в локальной базе на компьютере, и при использовании приложения троян получает к ней доступ.
CloudZ крадет пароли и выполняет удаленные команды
Через доступ к базе Phone Link троян считывает пароли, личные сообщения и коды верификации, которые используют для входа в учетные записи. CloudZ способен получать доступ к учетным записям, синхронизированным с Phone Link. Он также выполняет удаленные команды, записывает экран компьютера, управляет файлами и устанавливает или удаляет плагины.
Cisco Talos описала заражение через ложное обновление ScreenConnect
Исследователи Cisco Talos объяснили, что заражение начинается с ложного обновления инструмента удаленного доступа ScreenConnect, который является легитимным продуктом. После установки такого обновления система запускает цепочку программ, устанавливающих CloudZ и обеспечивающих его скрытое присутствие. Точный способ распространения пока неизвестен, однако исследователи допускают рассылку через фальшивые письма или мошеннические сайты.
Специалисты рекомендуют не использовать SMS для верификации и переходить на приложения-аутентификаторы или физические ключи. Они также советуют регулярно обновлять систему и не загружать файлы из неизвестных источников.
Оригинал: источник
