Windows Phone Link Exploitado pelo CloudZ RAT para Roubar Credenciais e OTPs

O CloudZ RAT utiliza um plugin Pheno personalizado para sequestrar a ponte do Windows Phone Link em sistemas Windows 10 e 11 comprometidos. Ele monitora processos ativos do Phone Link e acessa o banco de dados SQLite do aplicativo para roubar dados de SMS e OTPs sincronizados, sem a necessidade de infectar o telefone. Os invasores obtêm acesso inicial por meio de um executável falso do ConnectWise ScreenConnect que libera um .NET loader. Este, por sua vez, implanta o CloudZ modular, conecta-se ao C2 e executa comandos para roubo de credenciais, exfiltração de dados de navegadores e gravação de tela.