CloudZ RAT がWindows Phone Link を悪用し認証情報と OTP を盗聴

概要

サイバーセキュリティ研究者が、CloudZ という遠隔操作ツール（RAT）と Pheno という新種プラグインを用いた認証情報盗聴キャンペーンを公開しました。攻撃の特徴は、マイクロソフトの Phone Link アプリケーション（Windows 10/11 に組み込まれ、PC とスマートフォン間でデータを同期するツール）を悪用している点です。Pheno プラグインが Phone Link のプロセスを監視・横取りすることで、スマートフォンにマルウェアを導入することなく、SMS やワンタイムパスワード（OTP）などの機密データを傍受できます。2026年1月以降、未知の攻撃者グループによって使用されており、フェイクの ConnectWise ScreenConnect を初期感染ツールとして使用します。このアプローチは正規の機能を悪用するため、従来のモバイルセキュリティを迂回し、二要素認証をバイパス可能です。

元記事（The Hacker News）