ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- 연구원들은 플러그인을 사용하여 Microsoft Phone Link를 통해 민감한 정보를 가로채고 훔치는 트로이 목마인 CloudZ를 발견했습니다.
- 이 캠페인은 최소 2026년 1월부터 활성화되었으며 초기 진입점이 명확하지 않지만 여전히 Microsoft 기반 교차 장치 동기화에 대한 위협입니다.
- CloudZ 트로이 목마 및 유사한 악성 코드로부터 자신을 보호하려면 아래 설명된 방법을 따르십시오.
Cisco Talos 연구진은 휴대폰을 PC에 연결하기 위해 Microsoft Phone Link 앱을 실행하는 순간 자격 증명을 훔칠 수 있는 RAT(원격 액세스 트로이 목마)의 익스플로잇을 공개했습니다.
또한: Windows 변경 사항이 다가오고 있습니다. 다음 변경 사항을 미리 살펴보는 방법은 다음과 같습니다.
Microsoft 전화 링크: 위치 및 보유 이유
Microsoft Phone Link는 여러분이 알지 못할 수도 있는 앱이지만 Windows 10 및 11에 사전 설치되어 제공됩니다. 이전에는 Your Phone으로 브랜드화되었던 이 애플리케이션을 사용하면 사용자는 Bluetooth 및 Wi-Fi를 통해 휴대폰을 Windows PC에 연결할 수 있습니다.
이 앱은 Android 및 iOS를 지원하며 전화를 받고, 컴퓨터에서 문자 메시지에 답장하고, 알림을 받는 데 사용할 수 있습니다. Android에서는 카메라 릴을 보고 공유할 수도 있습니다.
CloudZ란 무엇이며, 이 공격은 어떻게 작동하나요?
CloudZ는 모듈식 RAT(원격 액세스 트로이 목마)로, .NET 실행 파일로 컴파일되고 해당 환경에서 난독화와 디버거 및 프로파일러 탐지를 포함하여 분석 및 리버스 엔지니어링에 대한 다양한 방어 기능을 갖추고 있습니다.
악성코드는 실행 중에 명령을 메모리에 로드하고 명령 및 제어(C2) 서버에 대한 연결을 설정하며 PowerShell 스크립트를 실행하여 공격자가 제어하는 C2 서버로 데이터를 추출, 다운로드 및 유출합니다.
연구원들은 초기 침입의 구체적인 방법을 문서화하지 않았지만 CloudZ가 Windows PC를 감염시킨 경우 새로 발견된 “Pheno” 플러그인을 사용하여 이러한 시스템을 감시할 수 있습니다. Pheno는 활성 전화 링크 프로세스를 지속적으로 모니터링하고 검색하도록 설계된 CloudZ의 악성 모듈입니다.
CloudZ가 Pheno의 감시 기능을 통해 활성 연결에 대한 경고를 받으면 트로이 목마는 Phone Link 애플리케이션의 SQLite 데이터베이스 파일을 하이재킹하고 가로채려고 시도합니다. 성공하면 CloudZ는 자격 증명, SMS 메시지 및 잠재적인 일회성 암호(OTP)를 포함하여 스마트폰에서 PC로 전달되는 민감한 정보를 훔칠 수 있습니다.
이 트로이 목마는 감시 및 데이터 도난에 초점을 맞춘 많은 악성 프로그램에서 흔히 볼 수 있는 응용 프로그램 취약성을 악용하기보다는 합법적인 Windows 기능을 악용합니다.
내가 왜 관심을 가져야 합니까?
이 연구는 맬웨어가 휴대폰의 정보를 손상시키기 위해 Android 또는 iOS 스마트폰을 감염시킬 필요가 없다는 점을 상기시켜줍니다. Wi-Fi, Bluetooth, 가정용 PC와 다른 장치 간에 위조된 링크 등 모든 형태의 연결에는 위험이 따릅니다. 특히 사이버 범죄자가 정보를 훔치거나 염탐하거나 시스템을 손상시키기 위한 새로운 방법을 지속적으로 개발하는 상황에서는 더욱 그렇습니다.
Cisco Talos의 최신 연구에서는 2단계 인증(2FA) 및 OTP 전달과 같은 최신 보안 제어를 우회하기 위해 장치 간 동기화 공격이 어떻게 발생할 수 있는지 강조합니다. 두 장치를 모두 소유하고 있다고 해서 두 장치가 모두 안전하거나 신뢰할 수 있다는 의미는 아닙니다.
보호받는 방법
이 공격 체인에는 따를 수 있는 단계가 있으며, 각 단계마다 CloudZ 및 유사한 트로이 목마의 피해자가 될 위험을 줄이기 위해 사용할 수 있는 보안 관행과 방법이 있습니다.
Cisco Talos 연구원들은 초기 공격 벡터를 확신하지 못하지만, 악성코드가 Windows PC에 도착했을 때 가짜 ScreenConnect 애플리케이션 업데이트로 실행된 다음 RAT를 배포했습니다.
이는 보호 상태를 유지하는 데 대한 몇 가지 지침을 제공합니다.
- 초기 액세스 포인트: 트로이 목마는 합법적인 소프트웨어로 위장하여 확산되는 경우가 많습니다. 소셜 미디어, 피싱 링크를 통해 다운로드하거나 warez 웹사이트에서 찾을 수 있습니다. 공식 소스에서만 소프트웨어를 다운로드해야 하며, 그런 경우에도 바이러스 백신 프로그램이나 앱을 통해 실시간 파일 검사를 활성화하여 의심스러운 파일을 탐지해야 합니다.
- 해적 콘텐츠: 트로이 목마 및 관련 악성 코드도 불법 복제 소프트웨어 번들에 포함되는 경우가 많습니다. 라이선스가 부여되지 않은 경우 PC를 위험에 빠뜨리게 되며 이러한 종류의 RAT는 데이터를 실행하고 도용하기 전에 오랫동안 탐지되지 않은 채 시스템에 숨어 있을 수 있습니다.
또한 PC-전화 브리지로 인한 위험도 알고 있어야 합니다. 이는 확실히 유용한 기능이지만 각 ‘영역’을 깨끗하고 감염되지 않게 유지해야 합니다.
- 교차 오염: PC나 스마트폰이 맬웨어에 감염된 경우 사용자도 모르게 장치에서 장치로 이동할 수 있습니다. 트로이 목마와 웜은 네트워크와 시스템 전체에 퍼지는 경우가 많으므로 맬웨어 및 바이러스 백신 검사를 자주 실행하면 각 시스템을 깨끗하게 유지할 수 있습니다.
- USB: 추가 보안 팁은 스마트폰, 태블릿, USB 저장 장치 등 알 수 없거나 신뢰할 수 없는 장치에 컴퓨터를 연결하지 않는 것입니다.
또한: 이 무료 Windows 정리 도구를 사용하여 PC 속도를 높일 수 있는지 확인했는데 효과가 있었습니다.
완벽 가이드 보기