Nuovo malware CloudZ: allerta per il furto di codici OTP tramite Windows Phone Link I ricercatori di Cisco Talos hanno recentemente scoperto un malware chiamato CloudZ, capace di compromettere la sicurezza degli utenti rubando credenziali e codici OTP (One-Time Password)…
Nuovo malware CloudZ: allerta per il furto di codici OTP tramite Windows Phone Link
I ricercatori di Cisco Talos hanno recentemente scoperto un malware chiamato CloudZ, capace di compromettere la sicurezza degli utenti rubando credenziali e codici OTP (One-Time Password) ricevuti via SMS. Questo attacco si avvale dell’app Phone Link (ex Collegamento al telefono) presente in Windows 11 e 10, creando una preoccupante vulnerabilità per milioni di utenti, anche in Italia. È cruciale che gli utenti siano consapevoli di questo pericolo e adottino misure preventive per proteggere i propri dati.
Come funziona l’attacco
Phone Link permette agli utenti di connettere il proprio smartphone al computer per gestire chiamate, notifiche e SMS in modo comodo e veloce. Tuttavia, questa facilità d’uso apre la porta a rischi significativi. I dati delle comunicazioni vengono archiviati in un database SQLite, che CloudZ riesce a esplorare. L’infezione si attiva tipicamente quando la vittima installa un falso aggiornamento per un software di supporto remoto noto come ScreenConnect. Sebbene i ricercatori non abbiano identificato con precisione come il malware venga introdotto sui sistemi, è chiaro che gli utenti devono essere vigili rispetto alle origini dei file scaricati.
Una volta installato, CloudZ si comporta come un Remote Access Trojan (RAT) modulare. Stabilisce una connessione persistente al server di comando e controllo (C2) e riceve istruzioni da quest’ultimo. Un componente particolarmente pericoloso, il plugin chiamato Pheno, esegue una scansione dei processi in esecuzione per identificare quello di Phone Link, utilizzando così l’accesso a informazioni chiave, inclusi i codici OTP necessari per l’autenticazione a due fattori.
Funzionalità e pericoli di CloudZ
Oltre a rubare codici OTP, CloudZ ha molte altre capacità dannose. Può estrarre informazioni memorizzate nei browser, manipolare file e persino registrare l’attività dello schermo dell’utente. Ciò lo rende un mix pericoloso di infostealer e spyware, in grado di raccogliere una quantità significativa di dati sensibili. Per eludere i controlli di sicurezza, il malware utilizza user agent di browser noti come Firefox, Safari e Chrome, generando così traffico HTTP apparentemente legittimo, il che rende difficile l’individuazione delle sue attività malevole.
L’impatto per gli utenti italiani può essere notevole, specialmente per coloro che si affidano a SMS per l’autenticazione a due fattori. In un’epoca in cui le minacce informatiche sono in continua evoluzione, la consapevolezza e la precauzione diventano imprescindibili.
Conclusioni e raccomandazioni
Per proteggere i propri dati da attacchi come quello di CloudZ, è fondamentale adottare un approccio proattivo alla sicurezza. Gli utenti devono prestare attenzione ai file scaricati da fonti sconosciute e ai presunti aggiornamenti di software. È consigliabile non salvare le credenziali nei browser e, soprattutto, utilizzare password robuste, preferibilmente sostituite da passkey quando possibile. Infine, l’uso di app dedicate per l’autenticazione a due fattori, invece di affidarsi agli SMS, rappresenta una strategia efficace per mitigare i rischi associati a questo tipo di malware.
La sicurezza online è una responsabilità condivisa; conoscenza e precauzione sono le migliori armi contro minacce come CloudZ.
