Underc0de - La Casa de los Informáticos

La evolución del malware continúa sorprendiendo incluso a los expertos en ciberseguridad. En esta ocasión, una nueva campaña activa desde enero ha puesto en evidencia una técnica particularmente sofisticada: el uso de un plugin malicioso para interceptar códigos sensibles sin necesidad de comprometer directamente dispositivos móviles. El protagonista de esta amenaza es la herramienta RAT conocida como CloudZ RAT, ahora potenciada con un módulo inédito llamado Feno.

CloudZ RAT y el plugin Feno: una combinación peligrosa

Investigadores de Cisco Talos han identificado una nueva variante de CloudZ que incorpora el plugin Feno, diseñado específicamente para secuestrar la funcionalidad de Microsoft Phone Link. Esta aplicación, integrada por defecto en sistemas Windows 10 y Windows 11, permite a los usuarios sincronizar sus dispositivos móviles con el ordenador, facilitando la gestión de llamadas, mensajes SMS y notificaciones.

El problema radica en que esta integración, pensada para mejorar la productividad, se convierte en un vector de ataque altamente efectivo cuando es explotada por actores maliciosos.

Cómo funciona el ataque: interceptación sin comprometer el móvil

El plugin Feno monitoriza activamente las sesiones de Microsoft Phone Link en el sistema comprometido. Una vez detectada actividad, accede a la base de datos local en formato SQLite, donde se almacenan mensajes SMS y notificaciones, incluyendo contraseñas de un solo uso (OTP).

Este enfoque representa un cambio significativo en la estrategia de los atacantes: en lugar de comprometer directamente el dispositivo móvil, atacan el punto de sincronización en el ordenador. Esto permite interceptar códigos sensibles sin activar mecanismos de seguridad en el smartphone, lo que reduce significativamente la probabilidad de detección.

Según Cisco Talos, esta técnica permite a los atacantes capturar:

• Códigos OTP enviados por SMS
• Notificaciones de aplicaciones autenticadoras
• Mensajes sensibles sincronizados con el sistema

En términos prácticos, esto puede derivar en el secuestro de cuentas, especialmente aquellas protegidas únicamente por autenticación en dos factores basada en SMS.

Capacidades avanzadas de CloudZ RAT

Más allá del plugin Feno, CloudZ RAT es una herramienta altamente versátil con múltiples capacidades maliciosas. Entre sus funcionalidades destacan:

• Exfiltración de datos almacenados en navegadores web
• Perfilado completo del sistema comprometido
• Ejecución remota de comandos
• Gestión de archivos (eliminar, descargar, modificar)
• Grabación de pantalla en tiempo real
• Gestión dinámica de plugins
• Terminación del propio proceso para evadir análisis

Además, el malware utiliza técnicas avanzadas de evasión, como la rotación de cadenas de user-agent para simular tráfico legítimo y el uso de cabeceras anti-caché en solicitudes HTTP, dificultando su detección en entornos de red.

Cadena de infección: ingeniería social y evasión avanzada

Aunque el vector de acceso inicial no ha sido completamente identificado, los investigadores descubrieron que la infección comienza con una actualización falsa de ScreenConnect. Este método aprovecha la confianza del usuario para ejecutar un cargador malicioso desarrollado en Rust.

Posteriormente, se despliega un loader basado en .NET que instala CloudZ RAT en el sistema y establece persistencia mediante tareas programadas. Este loader incluye múltiples técnicas anti-análisis, tales como:

• Detección de entornos sandbox mediante retrasos temporales
• Identificación de herramientas como Wireshark, Fiddler, Procmon y Sysmon
• Comprobaciones de ejecución en máquinas virtuales

Estas medidas permiten al malware evadir entornos de análisis automatizados y dificultan la investigación por parte de analistas de seguridad.

Riesgos para empresas y usuarios

El impacto de esta amenaza es significativo, especialmente en entornos corporativos donde Microsoft Phone Link puede estar habilitado por defecto. La capacidad de interceptar OTPs sin comprometer el móvil rompe uno de los pilares tradicionales de la autenticación en dos factores.

Esto pone en riesgo:

• Cuentas corporativas protegidas con MFA basado en SMS
• Accesos a plataformas SaaS críticas
• Información confidencial compartida mediante notificaciones

Además, la combinación de ingeniería social, evasión avanzada y exfiltración silenciosa convierte a CloudZ en una amenaza difícil de detectar y contener.

Recomendaciones de seguridad: cómo mitigar el riesgo

Ante este escenario, los expertos recomiendan adoptar medidas de seguridad más robustas:

1. Evitar OTPs basados en SMS

Los códigos enviados por SMS son vulnerables a interceptación. Es preferible utilizar aplicaciones autenticadoras que generen códigos localmente.

2. Implementar autenticación resistente al phishing

El uso de llaves de seguridad físicas (hardware tokens) ofrece una capa adicional de protección frente a ataques avanzados.

3. Supervisar integraciones de sistema

Las aplicaciones como Microsoft Phone Link deben ser evaluadas en entornos corporativos para determinar si representan un riesgo innecesario.

4. Detectar comportamientos anómalos

El monitoreo continuo de endpoints puede ayudar a identificar accesos inusuales a bases de datos locales o procesos sospechosos.

5. Mantener sistemas actualizados

Aunque en este caso se utilizó una actualización falsa, contar con mecanismos de validación de software reduce la probabilidad de ejecución de código malicioso.

Indicadores de compromiso y defensa proactiva

Cisco Talos ha publicado una lista de indicadores de compromiso (IoCs), incluyendo direcciones IP, dominios maliciosos y hashes de archivos, que pueden ser utilizados por equipos de seguridad para detectar y bloquear esta amenaza.

La implementación de estos indicadores en soluciones SIEM y EDR puede marcar la diferencia entre una intrusión contenida y una brecha de gran escala.

En fin...

La aparición del plugin Feno en CloudZ RAT marca un punto de inflexión en las tácticas de ciberataque. Al explotar aplicaciones legítimas como Microsoft Phone Link, los atacantes logran acceder a información crítica sin levantar sospechas en los dispositivos móviles.

Este caso demuestra que la seguridad ya no puede centrarse únicamente en proteger endpoints individuales. Es necesario adoptar un enfoque integral que contemple todas las interconexiones dentro del ecosistema digital.

La ciberseguridad moderna exige anticipación, visibilidad y una estrategia basada en múltiples capas. De lo contrario, amenazas como CloudZ seguirán encontrando formas innovadoras de comprometer incluso los entornos más protegidos.

Fuente: https://www.bleepingcomputer.com/