Windows「スマートフォン連携」を狙うマルウェア発見。OTP窃取につながる可能性

　Cisco Talosは5月5日(米国時間)、Windows 10および11に搭載されている「スマートフォン連携(英文名: Phone Link、旧称Your Phone)」を狙った、SMSやワンタイムパスワード(OTP)といった機密情報を盗む可能性のある遠隔操作型トロイの木馬「CloudZ」のプラグイン「Pheno」による攻撃を発見したと発表した。

　これによると、CloudZおよびPhenoを使った攻撃は、少なくとも2026年1月から侵入して活動していたことが分かった。攻撃者は正体不明だが、機能から判断するに、被害者の認証情報、場合によってはワンタイムパスワード(OTP)を盗むことを目的としていた可能性があるという。

　被害者環境への最初の侵入経路は不明だが、偽の「ScreenConnect」アプリのアップデート実行ファイルが実行されることから始まった。その実態は.NETローダーであり、update.txtやmsupdate.txtというテキストファイルに偽装してシステム内にプログラムをドロップ。その後、内蔵のPowerShellスクリプトにより、タスクスケジューラーにタスクを作成し、システム起動時に正規ツールのregasm.exeを悪用して、.NETローダーが自動実行されるよう永続化を図る。

　そして、セキュリティツールが動作していないかどうか、仮想マシン環境かどうかを詳細にチェックして、分析されることを回避。安全が確認されると、内部に分割して隠された文字列を結合復号して、.NETでコンパイルされたモジュール型のCloudZをメモリ上で実行。その後、外部サービスからコマンド・アンド・コントロールサーバー(C2サーバー)と接続するためのIPやポート番号といった追加の設定データをダウンロードして接続する。

　最後に、C2サーバーからの指示に従って、CloudZはPhenoと呼ばれる専用のプラグインをダウンロードして組み込む。Phenoは、スマートフォン連携が動作しているかどうかを監視することを目的としており、その監視結果をC2サーバーに送信していたようだ。

　ただCisco Talosによれば、今回の攻撃で確認できたのはあくまでも「これまで文書化されていなかったPhenoが、スマートフォン連携を実行しているかどうかを監視する目的で作られたのが分かった」ことのみ。SMSやワンタイムパスワードが実際に含まれるSQLiteデータを傍受して送るという“本当の”脅威かどうかについては、あくまでも可能性があるという表現にとどめている。