A Microsoft Phone Link egy olyan Windows 10 és Windows 11 rendszereken található eszköz, amely összeköti a számítógépet a felhasználó telefonjával WiFi-n vagy Bluetooth-on keresztül. Az applikáció többek közt tükrözi a telefonra értekezett értesítéseket és SMS üzeneteket, ezáltal a felhasználónak nem kell annyiszor elővennie a telefonját.
A támadók ezt az alkalmazást felhasználhatják hitelesítő adatok és egyszerhasználatos kódok ellopására, a CloudZ RAT és a Pheno plugin segítségével. A plugin megfigyeli a számítógép és a telefon közti kapcsolatot és ha a link aktív, akkor a CloudZ RAT segítségével képes a Phone Link által használt SQLite adatbázis olvasására, amelyből az előbb említett érzékeny adatok kinyerhetők.
A CloudZ RAT a fertőzést egy rosszindulatú, frissítésnek álcázott, Rust-ban íródott futtatható állománnyal kezdi. Ez az állomány visszafejt és a lemezre egy .NET loader-t ír. A loader elindít egy ütemezett feladatot, amely a legmagasabb jogosultságokkal fut és a számítógép újraindításakor szintén elindul. Miután a loader előkészítette a környezetet, számos, az észrevétel megnehezítésére szolgáló ellenőrzést is elvégez. Az eszközön futó folyamatok listázása után ellenőrzi, hogy a rendszeren futnak-e hálózati, vagy rendszerfelügyelő programok (Wireshark, Sysmon, Procmon, stb.) és ha igen, akkor a működését befejezi. Ellenőrzi továbbá, hogy a rendszer rendelkezik-e virtuális vagy sandbox környezetekre utaló karakterisztikákkal, és ha igen, akkor a működését szintén felfüggeszti.
A loader futtatható állomány több, hexadecimális karakterláncokat tartalmazó részletet ágyaz be a binárisba, amelyeket a végrehajtás során egymás után összefűz. A loader a hexadecimális karakterláncokat bájtokká alakítja, majd bájtonkénti XOR-visszafejtést hajt végre a 0xCA hexadecimális kulcs használatával. Ez a payload már maga a CloudZ RAT.
A RAT a futtatásakor dekódolja a konfigurációs adatait és kapcsolódik egy C2 szerverre is. A RAT számos utasítást és a további konfigurációkat különböző URL-ekről éri el, ezzel is megnehezítve az észrevételét. A RAT által használt HTTP kérések úgy vannak összeállítva, hogy a C2 szerverek sose legyenek cachelve, ezen kívül pedig több user-agent-et használ annak érdekében, hogy a RAT által generált forgalom ne tűnjön ki a normális forgalom közül.
A RAT C2 szerverről érkező parancsokkal hitelesítő adatokat lop a böngészőből, és vagy a curl parancs segítségével, vagy pedig egy specifikus URL-ről telepíti a Pheno bővítményt. A bővítmény a telepítés után az áldozat gépén felderítési parancsokat futtat le. Többek között a futó folyamatok listázásával és a Microsoft Phone Link által létrehozott helyi proxy hálózatok elérhetőségének tesztelésével ellenőrzi, hogy jelenleg van-e csatlakoztatott telefon az eszközön. Ha talál csatlakoztatott eszközt, akkor a telefon adatait tartalmazó SQLite adatbázis olvasásával a támadó képes az ott tárolt adatok, elsősorban az SMS-ben kapott egyszerhasználatos hitelesítő kódok felhasználására.
A Cisco Talos megfigyelése szerint a ClamAV „Win.Packed.Msilheracles-10030690-0”, „Win.Trojan.CloudZRAT-10059935-0”, és „Win.Trojan.CloudZRAT-10059959-0” szignatúrái, valamint a 66408–66410 és 301492 számú Snort szabályok segíthetnek a RAT azonosításában és blokkolásában. Ajánlott az ismert rosszindulatú domainek és IP-címek blokkolása, továbbá az olyan helyekről származó aláíratlan binárisok futtatásának korlátozása, mint a ProgramData mappa. A szervezetek emellett csökkenthetik a kitettséget a Microsoft Phone Link letiltásával vagy szoros megfigyelésével.