CloudZ sfrutta Windows Phone Link per rubare codici OTP
Topic
Approfondimenti
Trending
tutti

CloudZ sfrutta Windows Phone Link per rubare codici OTP

CloudZ è un RAT che utilizza un plugin dedicato per accedere al database SQLite in cui sono salvati gli SMS ricevuti dallo smartphone collegato al PC.
CloudZ sfrutta Windows Phone Link per rubare codici OTP
Sicurezza
CloudZ è un RAT che utilizza un plugin dedicato per accedere al database SQLite in cui sono salvati gli SMS ricevuti dallo smartphone collegato al PC.
Google AI Studio
Aggiungi Punto Informatico come Fonte preferita su Google

I ricercatori di Cisco Talos hanno individuato un nuovo malware, denominato CloudZ, che permette di rubare credenziali e codici OTP (One-Time Password) ricevuti tramite SMS. Per quest’ultima funzionalità sfrutta l’app Phone Link (Collegamento al telefono) per Windows 11/10 e un plugin dedicato. Gli utenti dovrebbero usare un’app per l’autenticazione in due fattori.

Phone Link consente di collegare lo smartphone (tramite Wi-Fi e Bluetooth) e di eseguire varie attività direttamente dal computer (chiamate, notifiche, SMS e altre). I relativi dati vengono salvati in un file SQLite. I ricercatori di Cisco Talos non hanno trovato il vettore di accesso iniziale, ma l’infezione inizia quando l’ignara vittima installa un falso aggiornamento di ScreenConnect.

Viene successivamente scaricato un loader .NET che installa CloudZ, un RAT (Remote Access Trojan) modulare che stabilisce la persistenza tramite un’attività pianificata e contatta il server C2 (command and control), dal quale riceve i comandi e scarica il plugin Pheno.

Quest’ultimo effettua la scansione dei processi per individuare quello dell’app Phone Link e quindi il collegamento tra PC e smartphone. Sfruttando il plugin, CloudZ accede al database SQLite e legge gli SMS ricevuti, inclusi quelli con i codici OTP per l’autenticazione a due fattori. Insieme alle credenziali consentono quindi di prendere il controllo degli account.

CloudZ può inoltre accedere ai dati memorizzati nei browser, eseguire operazioni sui file e registrare il contenuto dello schermo. In pratica offre anche funzionalità di infostealer e spyware. Per nascondere le sue attività utilizza user agent di Firefox, Safari e Chrome. Il traffico HTTP sembra così generato da richieste legittime dei browser.

Gli utenti devono prestare molta attenzione ai file scaricati da fonti sconosciute o ai presunti aggiornamenti software. Il consiglio è non salvare credenziali nel browser, scegliere password robuste (meglio le passkey) e usare app per l’autenticazione a due fattori, evitando gli SMS.

Fonte: Bleeping Computer

Pubblicato il 7 mag 2026

Link copiato negli appunti

Ti potrebbe interessare

World Password Day: 4 errori che fanno quasi tutti, e tu?

World Password Day: 4 errori che fanno quasi tutti, e tu?
Deepfake AI: nuovo avvertimento del Garante Privacy

Deepfake AI: nuovo avvertimento del Garante Privacy
Daemon Tools: attacco confermato e soluzione

Daemon Tools: attacco confermato e soluzione
Stop a virus, malware e truffe online con Avast al 60% di sconto

Stop a virus, malware e truffe online con Avast al 60% di sconto
World Password Day: 4 errori che fanno quasi tutti, e tu?

World Password Day: 4 errori che fanno quasi tutti, e tu?
Deepfake AI: nuovo avvertimento del Garante Privacy

Deepfake AI: nuovo avvertimento del Garante Privacy
Daemon Tools: attacco confermato e soluzione

Daemon Tools: attacco confermato e soluzione
Stop a virus, malware e truffe online con Avast al 60% di sconto

Stop a virus, malware e truffe online con Avast al 60% di sconto
Luca Colantuoni
Pubblicato il
7 mag 2026
Link copiato negli appunti