Malware ‘CloudZ’ Bajak Microsoft Phone Link untuk Curi SMS dan Kode OTP
Sebuah versi terbaru dari perangkat lunak berbahaya jenis Remote Access Tool (RAT) bernama CloudZ dilaporkan tengah menyebarkan plugin jahat baru yang belum pernah terlihat sebelumnya bernama Pheno. Plugin ini dirancang khusus untuk membajak koneksi aplikasi Microsoft Phone Link guna mencuri kode sensitif dari perangkat seluler korban.
Malware ini ditemukan dalam sebuah intrusi yang telah aktif setidaknya sejak bulan Januari lalu. Para peneliti keamanan meyakini bahwa tujuan utama dari aktor ancaman di balik serangan ini adalah untuk merampas kredensial pengguna dan kode sandi sementara (OTP).
Menyadap Ponsel Tanpa Perlu Meretasnya
Microsoft Phone Link adalah aplikasi bawaan yang terinstal pada sistem operasi Windows 10 dan 11. Aplikasi ini memungkinkan pengguna menggunakan komputer mereka untuk melakukan dan menerima panggilan telepon, merespons teks SMS, atau melihat notifikasi yang masuk di perangkat seluler (baik Android maupun iOS) mereka.
Dengan mengeksploitasi aplikasi ini, peretas dapat menyadap pesan-pesan sensitif yang dikirimkan ke ponsel target tanpa perlu meretas ponsel itu sendiri.
Dalam laporannya, para peneliti dari Cisco Talos menjelaskan bahwa plugin Pheno memantau secara aktif sesi Phone Link yang sedang berjalan di PC korban. Setelah itu, malware ini akan mengakses basis data (database) SQLite lokal milik aplikasi tersebut, yang secara otomatis menyimpan salinan riwayat SMS dan kata sandi sekali pakai (OTP) korban.
“Dengan aktivitas Phone Link yang terkonfirmasi pada mesin korban, penyerang yang menggunakan CloudZ RAT dapat berpotensi mencegat file basis data SQLite dari aplikasi Phone Link, yang secara langsung mengkompromikan pesan OTP berbasis SMS serta pesan notifikasi dari aplikasi autentikator lainnya,” urai pihak Cisco Talos.
Rantai Infeksi dan Fitur Tambahan CloudZ
Meskipun vektor akses awalnya belum teridentifikasi secara pasti, peneliti Cisco Talos menemukan bahwa rantai infeksi ini umumnya dimulai ketika korban tanpa sadar mengeksekusi file pembaruan palsu untuk perangkat lunak ScreenConnect.
File palsu tersebut melepaskan loader berbasis bahasa pemrograman Rust. Ini kemudian diikuti oleh penyebaran loader .NET yang bertugas menginstal CloudZ RAT dan membangun persistensi di dalam sistem melalui Scheduled Task (Tugas Terjadwal) Windows.
Hebatnya, loader .NET ini telah dilengkapi dengan berbagai pemeriksaan anti-analisis untuk mengecoh sistem keamanan, seperti:
- Langkah penghindaran sandbox berbasis waktu.
- Pemeriksaan keberadaan alat analisis lalu lintas jaringan seperti Wireshark, Fiddler, Procmon, dan Sysmon.
- Pemeriksaan string yang terkait dengan lingkungan Mesin Virtual (VM).
Selain kapabilitas penyadapan OTP yang dibawa oleh plugin Pheno, CloudZ RAT secara mandiri memiliki kemampuan untuk mencuri data dari peramban web (browser), melakukan manajemen file jarak jauh (menghapus, mengunduh, menulis), mengeksekusi perintah shell, hingga memulai perekaman layar korban tanpa ketahuan.
Rekomendasi Mitigasi
Mengingat betapa mudahnya OTP berbasis SMS dicegat melalui metode penyelarasan PC seperti Phone Link, pengguna dan administrator TI sangat disarankan untuk beralih menggunakan aplikasi autentikator yang tidak mengandalkan notifikasi push (karena notifikasi push juga dapat dibaca oleh Phone Link).
Untuk perlindungan informasi yang lebih sensitif, solusi terbaik saat ini adalah beralih menggunakan perlindungan berlapis yang kebal terhadap taktik phishing, seperti kunci keamanan berbasis perangkat keras (hardware security keys).
