Hakerzy wykorzystują funkcję Windowsa do ataków. Wystarczy jeden nieostrożny ruch

Badacze cyberbezpieczeństwa odkryli nową kampanię malware, która wykorzystuje jedną z funkcji Windowsa do przechwytywania danych z telefonu użytkownika i to bez konieczności infekowania samego smartfona. Atak bazuje na trojanie CloudZ RAT oraz wcześniej nieopisywanej wtyczce o nazwie Pheno, a jego głównym celem jest kradzież loginów, haseł oraz jednorazowych kodów uwierzytelniających OTP.

Według analizy specjalistów z Cisco Talos cyberprzestępcy wykorzystują aplikację Microsoft Phone Link, znaną wcześniej jako Łącze z telefonem, która pozwala połączyć komputer z Androidem lub iPhone’em. Narzędzie dostępne w Windows 10 i Windows 11 umożliwia odbieranie połączeń, odczytywanie wiadomości SMS czy przeglądanie powiadomień bezpośrednio na komputerze.

Problem polega na tym, iż mechanizm synchronizacji może zostać wykorzystany również do wyciągania wrażliwych danych przez złośliwe oprogramowanie działające na komputerze.

Groźny malware wykorzystuje funkcję z Windowsa

Badacze wskazują, iż malware monitoruje aktywność aplikacji Phone Link i uzyskuje dostęp do lokalnej bazy danych SQLite, w której przechowywane są zsynchronizowane informacje z telefonu. Dzięki temu atakujący mogą przechwycić wiadomości SMS, a nawet jednorazowe kody logowania używane w uwierzytelnianiu dwuskładnikowym.

Badacze cyberbezpieczeństwa odkryli nową kampanię malware, która wykorzystuje jedną z funkcji Windowsa do przechwytywania danych z telefonu użytkownika i to bez konieczności infekowania samego smartfona.

To praktyczne znaczenie tej kampanii jest szczególnie istotne dla osób korzystających z kodów SMS do zabezpieczania kont bankowych, poczty elektronicznej czy usług firmowych.

Według Cisco Talos kampania trwa przynajmniej od stycznia 2026 roku, choć do tej pory nie udało się powiązać jej z żadną konkretną grupą hakerską. Atak rozpoczyna się od nieustalonej jeszcze metody uzyskania dostępu do komputera ofiary, po czym instalowany jest fałszywy plik ConnectWise ScreenConnect. Następnie uruchamiany jest loader .NET oraz skrypt PowerShell odpowiadający za utrzymanie złośliwego oprogramowania w systemie.

Hakerzy stawiają na mniej oczywiste metody

Można odnieść wrażenie, że cyberprzestępcy coraz częściej wybierają mniej oczywiste metody obchodzenia zabezpieczeń i skupiają się na legalnych funkcjach systemu zamiast klasycznych exploitów. W porównaniu do starszych kampanii wymierzonych bezpośrednio w smartfony tutaj atakujący omijają konieczność instalowania malware na telefonie, ponieważ wystarczy im dostęp do komputera zsynchronizowanego z urządzeniem mobilnym.

CloudZ RAT posiada szeroki zestaw funkcji pozwalających między innymi na zdalne wykonywanie poleceń, przechwytywanie danych z przeglądarek, pobieranie dodatkowych modułów czy nawet nagrywanie ekranu użytkownika. Wtyczka Pheno odpowiada natomiast za analizowanie działania Phone Link i przekazywanie zebranych danych do serwera kontrolowanego przez napastników.