-
09/04/2020
-
132
-
1.866 bài viết
Mã độc mới lợi dụng Microsoft Phone Link chiếm OTP và tài khoản người dùng
Các chuyên gia an ninh mạng vừa công bố chi tiết về một chiến dịch tấn công mạng tinh vi sử dụng mã độc điều khiển từ xa CloudZ RAT kết hợp với plugin chưa từng được ghi nhận trước đây có tên Pheno nhằm đánh cắp thông tin đăng nhập và mã xác thực một lần (OTP) của nạn nhân.
Điểm đáng chú ý của chiến dịch này nằm ở chỗ tin tặc không cần cài mã độc trực tiếp lên điện thoại nhưng vẫn có thể truy cập dữ liệu đồng bộ giữa điện thoại và máy tính thông qua ứng dụng Microsoft Phone Link. Điều này cho thấy các tính năng kết nối đa thiết bị vốn phục vụ sự tiện lợi cho người dùng đang dần trở thành mục tiêu bị lợi dụng trong các cuộc tấn công mạng hiện đại.
CloudZ RAT và plugin Pheno là gì?
Theo phân tích, mã độc chính được sử dụng trong chiến dịch là CloudZ RAT, là một loại trojan điều khiển từ xa cho phép kẻ tấn công kiểm soát máy tính bị nhiễm, thực thi lệnh, đánh cắp dữ liệu và triển khai thêm các plugin độc hại khác. Đi cùng với CloudZ là một plugin mới có tên Pheno. Plugin này được thiết kế chuyên biệt để theo dõi hoạt động của ứng dụng Microsoft Phone Link trên máy tính Windows.
Phone Link là ứng dụng được tích hợp sẵn trên Windows 10 và Windows 11, cho phép người dùng kết nối điện thoại Android hoặc iPhone với máy tính thông qua Wi-Fi và Bluetooth. Sau khi kết nối, người dùng có thể xem tin nhắn SMS, nhận cuộc gọi, đồng bộ thông báo hoặc truy cập một số dữ liệu điện thoại trực tiếp từ máy tính. Chính cơ chế đồng bộ này đã bị tin tặc lợi dụng như một “cầu nối” để tiếp cận dữ liệu nhạy cảm trên điện thoại mà không cần tấn công trực tiếp vào thiết bị di động.
Phone Link là ứng dụng được tích hợp sẵn trên Windows 10 và Windows 11, cho phép người dùng kết nối điện thoại Android hoặc iPhone với máy tính thông qua Wi-Fi và Bluetooth. Sau khi kết nối, người dùng có thể xem tin nhắn SMS, nhận cuộc gọi, đồng bộ thông báo hoặc truy cập một số dữ liệu điện thoại trực tiếp từ máy tính. Chính cơ chế đồng bộ này đã bị tin tặc lợi dụng như một “cầu nối” để tiếp cận dữ liệu nhạy cảm trên điện thoại mà không cần tấn công trực tiếp vào thiết bị di động.
Cuộc tấn công diễn ra như thế nào?
Theo Cisco Talos, hoạt động này đã diễn ra ít nhất từ tháng 01/2026, tuy nhiên hiện chưa xác định được nhóm tin tặc đứng sau chiến dịch. Quá trình tấn công bắt đầu bằng việc tin tặc tìm cách xâm nhập vào máy tính nạn nhân thông qua một phương thức chưa được xác định rõ. Sau khi có chỗ đứng trong hệ thống, chúng triển khai một tệp giả mạo mang danh nghĩa phần mềm ConnectWise ScreenConnect.
Tệp giả này thực chất là dropper thành phần chịu trách nhiệm tải xuống và kích hoạt mã độc ".NET loader". Đồng thời, malware cũng sử dụng PowerShell để tạo Scheduled Task nhằm duy trì khả năng tồn tại trên hệ thống ngay cả khi máy tính khởi động lại. Sau đó, loader trung gian sẽ kiểm tra môi trường máy tính nhằm né tránh hệ thống phát hiện mã độc trước khi cài đặt CloudZ RAT hoàn chỉnh.
Khi được kích hoạt, CloudZ RAT sẽ giải mã cấu hình nhúng bên trong, thiết lập kết nối mã hóa tới máy chủ điều khiển C2 và chờ nhận lệnh từ tin tặc. Malware có thể thực hiện nhiều chức năng như:
Tệp giả này thực chất là dropper thành phần chịu trách nhiệm tải xuống và kích hoạt mã độc ".NET loader". Đồng thời, malware cũng sử dụng PowerShell để tạo Scheduled Task nhằm duy trì khả năng tồn tại trên hệ thống ngay cả khi máy tính khởi động lại. Sau đó, loader trung gian sẽ kiểm tra môi trường máy tính nhằm né tránh hệ thống phát hiện mã độc trước khi cài đặt CloudZ RAT hoàn chỉnh.
Khi được kích hoạt, CloudZ RAT sẽ giải mã cấu hình nhúng bên trong, thiết lập kết nối mã hóa tới máy chủ điều khiển C2 và chờ nhận lệnh từ tin tặc. Malware có thể thực hiện nhiều chức năng như:
- Đánh cắp dữ liệu trình duyệt
- Thu thập thông tin hệ thống
- Quản lý tệp tin
- Tải thêm plugin độc hại
- Quay màn hình
- Thực thi lệnh từ xa
- Thu thập dữ liệu từ Microsoft Phone Link
Điểm nguy hiểm nhất nằm ở plugin Pheno. Plugin này liên tục kiểm tra xem ứng dụng Phone Link có đang hoạt động trên máy nạn nhân hay không. Nếu phát hiện có kết nối giữa máy tính và điện thoại, nó sẽ truy cập cơ sở dữ liệu SQLite mà Phone Link sử dụng để lưu dữ liệu đồng bộ.
Thông qua đó, tin tặc có thể thu thập:
Thông qua đó, tin tặc có thể thu thập:
- Tin nhắn SMS
- Mã OTP xác thực hai lớp
- Thông báo từ điện thoại
- Một số dữ liệu liên quan đến tài khoản người dùng
Toàn bộ dữ liệu sau đó được chuyển ngược về máy chủ điều khiển của hacker.
Vì sao cuộc tấn công này đặc biệt nguy hiểm?
Khác với nhiều chiến dịch đánh cắp OTP truyền thống phải cài mã độc trực tiếp lên điện thoại Android hoặc sử dụng kỹ thuật giả mạo SMS, chiến dịch lần này tận dụng chính tính năng hợp pháp của Windows. Điều này khiến việc phát hiện trở nên khó khăn hơn rất nhiều vì Phone Link vốn là ứng dụng đáng tin cậy do Microsoft phát triển.
Quan trọng hơn, cơ chế này có thể giúp tin tặc vượt qua xác thực hai lớp (2FA). Trong nhiều trường hợp, dù hacker đã đánh cắp được mật khẩu, chúng vẫn cần OTP để hoàn tất đăng nhập. Nếu OTP bị thu thập qua Phone Link, lớp bảo vệ 2FA gần như mất tác dụng.
Theo Cisco Talos, chiến dịch này phản ánh xu hướng mới trong tấn công mạng: thay vì xâm nhập trực tiếp vào điện thoại hacker chuyển sang khai thác các “cầu nối” giữa điện thoại và máy tính.
Quan trọng hơn, cơ chế này có thể giúp tin tặc vượt qua xác thực hai lớp (2FA). Trong nhiều trường hợp, dù hacker đã đánh cắp được mật khẩu, chúng vẫn cần OTP để hoàn tất đăng nhập. Nếu OTP bị thu thập qua Phone Link, lớp bảo vệ 2FA gần như mất tác dụng.
Theo Cisco Talos, chiến dịch này phản ánh xu hướng mới trong tấn công mạng: thay vì xâm nhập trực tiếp vào điện thoại hacker chuyển sang khai thác các “cầu nối” giữa điện thoại và máy tính.
Người dùng và doanh nghiệp bị ảnh hưởng ra sao?
Các cá nhân sử dụng Phone Link để đồng bộ điện thoại với máy tính có nguy cơ bị đánh cắp:
- Tài khoản email
- Tài khoản mạng xã hội
- Tài khoản ngân hàng hoặc ví điện tử
- OTP xác thực
- Dữ liệu nhạy cảm trong tin nhắn
Đối với doanh nghiệp, nguy cơ còn lớn hơn nếu nhân viên sử dụng Phone Link trên máy tính công việc. Khi hacker chiếm được tài khoản nội bộ hoặc OTP xác thực hệ thống doanh nghiệp, chúng có thể mở rộng xâm nhập sang nhiều hệ thống quan trọng khác. Ngoài ra, việc malware hoạt động hoàn toàn trên máy tính cũng khiến nhiều người dùng chủ quan vì điện thoại không xuất hiện dấu hiệu nhiễm mã độc rõ ràng.
Có mã CVE hay bản vá bảo mật không?
Hiện tại, đây chưa được công bố là một lỗ hổng bảo mật cụ thể có mã CVE hay điểm CVSS riêng biệt. Thay vào đó, đây là một kỹ thuật tấn công lợi dụng hành vi hợp pháp của ứng dụng Phone Link kết hợp với malware trên Windows.
Do đó, vấn đề không nằm ở một lỗi phần mềm đơn lẻ mà ở cách malware tận dụng cơ chế đồng bộ dữ liệu giữa các thiết bị.
Do đó, vấn đề không nằm ở một lỗi phần mềm đơn lẻ mà ở cách malware tận dụng cơ chế đồng bộ dữ liệu giữa các thiết bị.
Các chuyên gia an ninh mạng khuyến nghị gì?
Các chuyên gia bảo mật khuyến nghị người dùng và doanh nghiệp cần đặc biệt cẩn trọng với các công cụ đồng bộ đa thiết bị, nhất là trên máy tính làm việc chứa dữ liệu quan trọng.
Một số biện pháp giảm thiểu rủi ro gồm:
Một số biện pháp giảm thiểu rủi ro gồm:
- Không mở hoặc chạy các tệp thực thi không rõ nguồn gốc
- Giám sát các Scheduled Task và tiến trình PowerShell bất thường
- Tắt Phone Link nếu không thực sự cần thiết
- Hạn chế đồng bộ SMS và thông báo OTP lên máy tính
- Sử dụng phần mềm bảo mật có khả năng phát hiện hành vi bất thường
- Kiểm tra định kỳ các kết nối giữa điện thoại và máy tính
- Triển khai cơ chế Zero Trust trong môi trường doanh nghiệp
- Sử dụng ứng dụng xác thực riêng thay vì OTP qua SMS khi có thể
Ngoài ra, các tổ chức cũng nên tăng cường giám sát các kết nối outbound bất thường từ máy trạm tới máy chủ C2 nhằm phát hiện sớm dấu hiệu lây nhiễm CloudZ RAT. Chiến dịch sử dụng CloudZ RAT và plugin Pheno cho thấy tin tặc đang ngày càng chuyển hướng sang khai thác các tính năng hợp pháp thay vì chỉ dựa vào lỗ hổng truyền thống.
Việc lợi dụng Microsoft Phone Link để đánh cắp OTP và dữ liệu điện thoại là lời cảnh báo rõ ràng rằng các hệ sinh thái kết nối đa thiết bị có thể vô tình mở rộng bề mặt tấn công nếu không được kiểm soát đúng cách.
Trong bối cảnh ngày càng nhiều người dùng đồng bộ điện thoại với máy tính để phục vụ công việc và cá nhân, việc giám sát các kết nối thiết bị, hạn chế quyền truy cập không cần thiết và nâng cao nhận thức an toàn thông tin sẽ trở thành yếu tố quan trọng để ngăn chặn các cuộc tấn công kiểu mới này.
Việc lợi dụng Microsoft Phone Link để đánh cắp OTP và dữ liệu điện thoại là lời cảnh báo rõ ràng rằng các hệ sinh thái kết nối đa thiết bị có thể vô tình mở rộng bề mặt tấn công nếu không được kiểm soát đúng cách.
Trong bối cảnh ngày càng nhiều người dùng đồng bộ điện thoại với máy tính để phục vụ công việc và cá nhân, việc giám sát các kết nối thiết bị, hạn chế quyền truy cập không cần thiết và nâng cao nhận thức an toàn thông tin sẽ trở thành yếu tố quan trọng để ngăn chặn các cuộc tấn công kiểu mới này.
Theo The Hacker News