AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Ataques

Hackers aprovechan CloudZ RAT y Pheno para comprometer la sincronización entre Windows y smartphones

admin

## Introducción

En el panorama actual de amenazas, los atacantes continúan innovando en técnicas y herramientas para evadir la detección y maximizar el alcance de sus operaciones. Recientemente, se ha identificado una campaña que utiliza el troyano de acceso remoto CloudZ RAT junto con un nuevo componente plug-in, denominado Pheno, específicamente diseñado para tomar control del puente de sincronización entre sistemas Windows y dispositivos móviles. Este tipo de ataque plantea un nuevo vector de riesgo para organizaciones que dependen de la integración entre estaciones de trabajo y smartphones, añadiendo complejidad al ya desafiante entorno de protección de endpoints.

## Contexto del Incidente o Vulnerabilidad

Los analistas de amenazas han detectado un incremento en ataques dirigidos a la infraestructura de sincronización de dispositivos, como la funcionalidad «Your Phone» de Windows o soluciones similares de terceros (por ejemplo, Dell Mobile Connect, Samsung Flow, etc.). El objetivo de estos ataques es el software puente que facilita la comunicación y transferencia de datos entre PCs con Windows y smartphones, tradicionalmente menos vigilado en los procesos de hardening y monitorización.

Esta campaña, identificada desde el primer trimestre de 2024, está siendo atribuida a grupos de cibercriminales con motivaciones principalmente financieras, aunque no se descarta su uso por actores de amenazas persistentes avanzadas (APT) para propósitos de espionaje corporativo o robo de credenciales.

## Detalles Técnicos

### CloudZ RAT y Pheno Plug-in

El CloudZ RAT (Remote Access Trojan) es una herramienta modular con capacidades de administración remota y exfiltración de información, ampliamente distribuida en foros clandestinos y frecuentemente utilizada en campañas dirigidas. La variante identificada en estos ataques incorpora mecanismos avanzados de persistencia y evasión, incluyendo técnicas de living-off-the-land (LotL) y uso de DLL hijacking en el software puente.

Pheno, el nuevo plug-in, actúa como un módulo especializado que extiende la funcionalidad de CloudZ RAT. Su objetivo es interceptar y manipular la comunicación entre el sistema Windows y el dispositivo móvil. Entre sus capacidades se encuentran:

– Captura de notificaciones y mensajes sincronizados.
– Interceptación de transferencias de archivos y credenciales almacenadas.
– Control remoto de funciones del smartphone a través del PC comprometido.
– Despliegue de payloads adicionales en el dispositivo móvil mediante exploits conocidos (p.ej., CVE-2023-35674, relacionado con la transferencia de archivos en entornos Windows-Android).

### Vectores de ataque y TTPs

La cadena de ataque identificada sigue fases clásicas del MITRE ATT&CK, destacando:

– **Initial Access (T1190, Exploit Public-Facing Application):** Phishing dirigido con adjuntos maliciosos y explotación de vulnerabilidades en el software puente.
– **Execution (T1059, Command and Scripting Interpreter):** Uso de scripts PowerShell y binarios legítimos de Windows para desplegar CloudZ RAT.
– **Persistence (T1547, Boot or Logon Autostart Execution):** Manipulación de claves de registro y tareas programadas.
– **Defense Evasion (T1027, Obfuscated Files or Information):** Empaquetado de payloads y cifrado de comunicaciones C2.
– **Lateral Movement (T1021, Remote Services):** Propagación a otros endpoints conectados en red o dispositivos móviles.

Indicadores de compromiso (IoCs) incluyen hashes SHA256 de los binarios de CloudZ y Pheno, así como direcciones IP de los servidores de comando y control (C2) asociados.

## Impacto y Riesgos

El impacto de esta campaña es significativo, especialmente en entornos corporativos donde la movilidad y sincronización de datos entre dispositivos es habitual. Los riesgos identificados incluyen:

– **Compromiso de credenciales**: Captura de tokens de autenticación de aplicaciones móviles y Windows.
– **Exfiltración de datos sensibles**: Documentos, mensajes y archivos transferidos entre PC y móvil.
– **Despliegue de malware adicional**: Utilización del canal de sincronización para infectar el smartphone, incluso con ransomware móvil.
– **Evasión de controles tradicionales**: Al operar a través del canal de sincronización, muchos EDR/AV pueden no detectar la actividad maliciosa.

Según estimaciones recientes, cerca del 15% de las empresas europeas utilizan sistemas de sincronización afectados, lo que potencialmente expone a millones de endpoints y dispositivos móviles.

## Medidas de Mitigación y Recomendaciones

Para reducir el riesgo de compromiso por esta campaña, se recomienda:

– **Actualización inmediata** de los sistemas operativos y aplicaciones de sincronización (aplicando parches para CVE-2023-35674 y otras vulnerabilidades relevantes).
– **Deshabilitar funciones innecesarias** de sincronización en endpoints corporativos y limitar el uso de software puente a entornos controlados.
– **Implementar segmentación de red** y controles Zero Trust entre dispositivos móviles y PCs.
– **Monitorizar logs** de acceso y actividad inusual en aplicaciones de sincronización.
– **Desplegar reglas YARA** y firmas IDS/IPS basadas en los IoCs publicados para la detección temprana.
– **Formar a los usuarios** sobre los riesgos del phishing dirigido y la descarga de software no autorizado.

## Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de Digital Shadows y Kaspersky, advierten que la tendencia a atacar canales de sincronización es un claro reflejo de la profesionalización del cibercrimen: “Estamos viendo un cambio hacia vectores infrautilizados, aprovechando las lagunas en la superficie de ataque de los entornos híbridos”, señala Pablo Herrero, CISO de una multinacional española del IBEX35.

## Implicaciones para Empresas y Usuarios

La explotación de estos vectores puede poner en riesgo no solo la confidencialidad, sino también la integridad y disponibilidad de los datos corporativos, lo que supone un desafío importante para el cumplimiento normativo (GDPR, NIS2). Además, la posible propagación a dispositivos móviles personales incrementa la exposición al shadow IT y la fuga de datos más allá del perímetro corporativo.

## Conclusiones

La campaña basada en CloudZ RAT y el plug-in Pheno constituye una amenaza emergente que exige una revisión de las estrategias de protección de endpoints y movilidad. Es esencial que los equipos de seguridad adapten sus controles y monitorización para contemplar este nuevo vector, reforzando la colaboración entre departamentos de TI y seguridad, y promoviendo una cultura de ciberhigiene proactiva.

(Fuente: www.darkreading.com)