你的Windows電腦正在泄露手機(jī)驗(yàn)證碼

一條短信驗(yàn)證碼從手機(jī)彈出的瞬間，可能已經(jīng)被千里之外的攻擊者截獲。安全研究人員近期發(fā)現(xiàn)，有黑客組織正在利用Windows系統(tǒng)內(nèi)置的"手機(jī)連接"功能，在不觸碰受害者手機(jī)的情況下，直接竊取短信內(nèi)容和一次性密碼（OTP）。這種攻擊方式繞開了傳統(tǒng)手機(jī)木馬的檢測防線，將數(shù)百萬用戶日常依賴的同步工具變成了間諜通道。

Cisco Talos團(tuán)隊(duì)將這一威脅命名為CloudZ，其配套插件Pheno構(gòu)成了完整的攻擊鏈條。該活動至少從2026年1月起處于活躍狀態(tài)。攻擊者的目標(biāo)明確：盜取登錄憑證并攔截雙因素認(rèn)證所需的OTP短碼。值得注意的是，整個攻擊過程中惡意代碼從未植入手機(jī)，而是寄生在Windows PC與配對手機(jī)之間的數(shù)據(jù)橋梁上。

感染起點(diǎn)是一封偽裝成ScreenConnect遠(yuǎn)程支持工具更新的釣魚文件。用戶一旦運(yùn)行，.NET加載器會執(zhí)行多道安全檢查，確認(rèn)環(huán)境安全后才釋放CloudZ遠(yuǎn)程訪問工具。至此，攻擊者獲得了瀏覽受害者機(jī)器、竊取瀏覽器數(shù)據(jù)并激活Pheno插件的完整權(quán)限。

CloudZ的防御規(guī)避機(jī)制相當(dāng)精密。它通過監(jiān)測時序模式判斷是否在測試環(huán)境中運(yùn)行，并掃描Wireshark、Fiddler、Procmon、Sysmon等分析工具的存在。其敏感功能采用內(nèi)存動態(tài)生成技術(shù)，顯著增加了取證分析的難度。

Pheno插件的設(shè)計(jì)展現(xiàn)了攻擊者對微軟生態(tài)的深入理解。它會掃描所有運(yùn)行進(jìn)程，查找"YourPhone""PhoneExperienceHost""Link to Windows"等Phone Link應(yīng)用相關(guān)關(guān)鍵詞。發(fā)現(xiàn)匹配進(jìn)程后，Pheno會記錄進(jìn)程ID和文件路徑，寫入以受害者計(jì)算機(jī)命名的臨時文件。

隨后Pheno在該文件中搜索"proxy"關(guān)鍵詞——這是Phone Link正在路由PC與手機(jī)間流量的信號。一旦確認(rèn)連接狀態(tài)，插件向輸出文件寫入"Maybe connected"，通過CloudZ向攻擊者發(fā)出警報(bào)，表明截獲移動數(shù)據(jù)的條件已成熟。

此時CloudZ能夠訪問Phone Link應(yīng)用的本地SQLite數(shù)據(jù)庫"PhoneExperiences-*.db"。該數(shù)據(jù)庫存儲著同步的短信、通話記錄和應(yīng)用通知。攻擊者無需接觸物理設(shè)備，即可獲取本應(yīng)由手機(jī)本地保管的敏感信息。

這一攻擊模式揭示了現(xiàn)代跨設(shè)備同步架構(gòu)的結(jié)構(gòu)性風(fēng)險。當(dāng)便利性功能成為默認(rèn)配置，其安全邊界往往被用戶和管理員同時忽視。Phone Link的橋接機(jī)制本意為提升效率，卻在缺乏額外驗(yàn)證的情況下，為憑證竊取開辟了隱蔽通道。