企业官网建设流程全解析

ZDNET 要点总结

CloudZ 木马通过微软手机链接（Microsoft Phone Link）窃取数据，该攻击活动至少从 2026 年 1 月起就已存在。遵循建议，可保护自己免受 CloudZ 木马的侵害。

思科 Talos 研究人员揭露了一种远程访问木马（RAT）的攻击手段，当启动微软手机链接应用程序将手机与电脑连接时，它就能窃取凭证信息。

什么是微软手机链接？

或许对微软手机链接应用不太熟悉，不过它已预装在 Windows 10 和 11 系统中。该应用曾被称为 "你的手机"（Your Phone），允许用户通过蓝牙和 Wi - Fi 将手机连接到 Windows 电脑。此外，Windows 即将迎来一些变化，可提前了解一下后续的更新内容。

这款应用支持安卓和 iOS 系统，可用于在电脑上接听电话、回复短信以及接收通知。在安卓系统上，还能查看和分享相机胶卷。

什么是 CloudZ？

CloudZ 是一个模块化的远程访问木马（RAT），以 .NET 可执行文件形式编译，具备一系列抵御分析和逆向工程的防护机制，包括代码混淆以及检测运行环境中的调试器和分析器。该恶意软件在执行时将指令加载到内存中，与命令与控制（C2）服务器建立连接，并执行 PowerShell 脚本，以提取、下载数据并将其泄露到攻击者控制的 C2 服务器。

虽然研究人员未记录其具体的初始入侵方法，但如果 CloudZ 感染了 Windows 电脑，它可以利用新发现的 "Pheno" 插件对这些系统进行监控。Pheno 是 CloudZ 中的一个恶意模块，旨在监控和扫描活跃的手机链接进程。

一旦 CloudZ 通过 Pheno 的监控功能察觉到有活跃连接，它就会尝试劫持并拦截手机链接应用的 SQLite 数据库文件。如果成功，CloudZ 就能在数据从智能手机传输到电脑的过程中窃取敏感信息，包括凭证、短信以及可能的一次性密码（OTP）。这种木马利用的是 Windows 的合法功能，而非应用程序漏洞，这是许多专注于监控和数据窃取的恶意软件常用的手段。

为什么要关注？

这项研究提醒我们，恶意软件无需感染安卓或 iOS 智能手机，就能危及手机中的信息。任何形式的连接，无论是 Wi - Fi、蓝牙，还是家庭电脑与其他设备之间建立的链接，都存在风险。尤其是在网络犯罪分子不断开发新方法来窃取信息、监控我们或破坏系统的当下。

思科 Talos 的最新研究凸显了跨设备同步攻击如何绕过现代安全控制措施，如双因素认证（2FA）和一次性密码（OTP）传输。仅仅因为同时拥有这两个设备，并不意味着它们都是安全可靠的。

如何保护自己

在这个攻击链中，可采取一些措施，在每个阶段都有相应的安全实践和方法来降低成为 CloudZ 及类似威胁受害者的风险。

虽然思科 Talos 研究人员不确定初始攻击向量，但当恶意软件进入 Windows 电脑时，它以虚假的 ScreenConnect 应用程序更新形式执行，进而部署了 RAT。这为我们提供了一些保护建议：

• 初始访问点：木马通常伪装成合法软件进行传播。它们可能通过社交媒体、钓鱼链接下载，或者在盗版软件网站上出现。应该只从官方来源下载软件，并且通过杀毒程序或应用启用实时文件扫描，以检测可疑文件。
• 盗版内容：木马和相关恶意软件也常包含在盗版软件包中。除非软件获得了授权，否则电脑将面临风险，这类 RAT 可能会在系统中潜伏很长时间，直到触发并窃取数据。
• 还需注意电脑与手机连接的风险：这些连接功能确实很实用，但需要确保每个 "区域" 都干净且不受感染。
  • 交叉感染：如果电脑或智能手机感染了恶意软件，它可能会在不知情的情况下在设备之间传播。木马和蠕虫通常可以在网络和系统中传播，因此定期进行恶意软件和杀毒扫描可以保持每台设备的清洁。
  • USB 连接：另一个安全提示是，切勿将设备连接到未知或不可信的设备，包括智能手机、平板电脑和 USB 存储设备。

相关推荐

• 微软终于开源了 DOS 1.0——其意义远不止代码本身
• 如何审查 ChatGPT 对你的了解——并重新掌控你的数据隐私
• 为什么虚拟桌面如此有用——我给初学者的四大建议
• 我对比了 ChatGPT Images 2.0 和 Gemini Nano Banana，看看哪个更好——这个模型获胜