Alerta de Seguridad: Malware CloudZ intercepta mensajes y contraseñas usando la app Phone Link de Microsoft

Los usuarios de Windows deben extremar las precauciones ante un nuevo y sofisticado malware llamado CloudZ. Este troyano de acceso remoto representa una amenaza seria, ya que está diseñado para interceptar mensajes privados y robar contraseñas sensibles sin necesidad de comprometer físicamente el teléfono móvil.

El peligro radica en la explotación de una aplicación legítima: *Phone Link* de Microsoft. Este malware se aprovecha del plugin desconocido llamado Pheno, que monitoriza activamente esta conexión vital entre tu PC y tu smartphone, convirtiéndola en un punto ciego para los atacantes.

¿Cómo funciona la amenaza CloudZ?

CloudZ no ataca directamente al móvil; su objetivo es el ordenador infectado. Al estar activo desde enero de 2026, este troyano accede a la base de datos local donde *Phone Link* sincroniza información crucial. Esto permite que los atacantes obtengan códigos sensibles y datos personales.

Las capacidades de extracción de CloudZ son alarmantemente amplias, incluyendo:

• Lectura de SMS y códigos OTP (One-Time Password) recibidos por mensaje de texto.
• Extracción de contraseñas temporales almacenadas en el sistema operativo o navegadores web.
• Ejecución remota de comandos, gestión de archivos y grabación de pantalla.

Según ‘BleepingComputer’, la clave es que el puente de comunicación ya está establecido por Microsoft; solo necesita ser explotado desde un PC comprometido.

Mecanismo de infección: El vector ScreenConnect

La infección no ocurre al azar. Los investigadores descubrieron que CloudZ se propaga mediante una actualización falsa de la herramienta legítima de acceso remoto, *ScreenConnect*. Este proceso es altamente técnico y está diseñado para evadir la detección.

El ataque sigue varios pasos complejos:

• Ejecución del archivo malicioso (falsa actualización).
• Despliegue de un cargador desarrollado en Rust.
• Instalación final del troyano CloudZ mediante un segundo componente en .NET, asegurando su permanencia con una tarea programada.

Además, el cargador incluye mecanismos avanzados para dificultar la investigación, como:

• Comprobación de herramientas forenses (Wireshark, Fiddler).
• Detección de entornos virtuales o máquinas de análisis.

Ante esta amenaza, es vital que los usuarios revisen sus conexiones y mantengan el software actualizado con extremo cuidado. Nunca ejecuten actualizaciones de acceso remoto sin verificar la fuente oficial.