برنامج CloudZ الخبيث يخترق Microsoft Phone Link لسرقة OTP بنوك SAMA

كشف باحثو Cisco Talos مطلع مايو 2026 عن حملة تجسس متطورة تستخدم برنامج تحكم عن بُعد جديداً يُسمى CloudZ مع مكوّن إضافي مخصص باسم Pheno، يستهدف ميزة Microsoft Phone Link المدمجة في Windows لاعتراض رسائل OTP وكلمات المرور لمرة واحدة دون الحاجة لإصابة الهاتف نفسه. يمثّل هذا التهديد تحدياً مباشراً لمنظومة المصادقة الثنائية (MFA) المعتمدة في أغلب بنوك المملكة الخاضعة لإشراف البنك المركزي السعودي (SAMA).

آلية الهجوم: استغلال جسر PC-to-Phone الشرعي

تبدأ سلسلة الإصابة عبر تحديث مزيّف لأداة ScreenConnect، حيث يُنفَّذ مُحمِّل مكتوب بلغة Rust بأسماء ملفات مثل systemupdates.exe، يُسقط بدوره مُحمِّل .NET متخفياً كملف نصي، ثم يُحمّل CloudZ عبر الملف الشرعي regasm.exe ضمن تقنية Living-off-the-Land. بعد التثبيت، يبحث مكوّن Pheno باستمرار عن عمليات Phone Link النشطة (YourPhone، PhoneExperienceHost، Link to Windows) ويستخرج البيانات من قواعد البيانات المحلية لـ Phone Link، ما يمكّن المهاجم من قراءة رسائل SMS وإشعارات تطبيقات المصادقة دون أي بصمة على الهاتف الذكي للضحية.

لماذا يُعدّ هذا التهديد أخطر من Banking Trojans التقليدية؟

اعتمدت أحصنة طروادة المصرفية تاريخياً على إصابة الهاتف المحمول مباشرة (مثل Anubis وCerberus)، ما يستوجب من الضحية تنزيل تطبيق خبيث وتفعيل صلاحيات Accessibility. أما CloudZ فيلتف على هذا الحاجز بالكامل: يكفي اختراق جهاز Windows واحد مرتبط بهاتف الموظف عبر Phone Link ليصبح صندوق الوارد بأكمله — بما فيه رموز OTP من البنوك وتطبيقات المصادقة — مكشوفاً للمهاجم. وبما أن الميزة مفعّلة افتراضياً في Windows 11 وتُستخدم على نطاق واسع في البيئات المؤسسية لتعزيز الإنتاجية، فإن سطح الهجوم في القطاع المالي السعودي واسع جداً.

التأثير على المؤسسات المالية الخاضعة لإشراف SAMA

يُلزم إطار SAMA Cyber Security Framework (CSCC) v1.0 البنوك بتطبيق ضوابط مصادقة قوية متعددة العوامل، خاصة في المجال الفرعي 3.3.5 المتعلق بـ Identity & Access Management. يهدد CloudZ هذه الضوابط جوهرياً لأنه يُحوّل MFA المعتمد على SMS إلى عامل مصادقة مكشوف. كذلك يتقاطع التهديد مع متطلبات نظام حماية البيانات الشخصية السعودي (PDPL) من حيث حماية البيانات أثناء النقل، ومع ضوابط NCA ECC-2:2024 في المجال الفرعي 2-3-3 لأمن النقاط الطرفية. أي تسريب لبيانات عملاء بنوك السعودية عبر هذه القناة قد يُفعّل التزامات الإفصاح خلال 72 ساعة المنصوص عليها في PDPL ولوائح SAMA.

التوصيات والخطوات العملية

1. تعطيل ميزة Phone Link على أجهزة الموظفين ذوي الصلاحيات العالية (CISO، مديري الأنظمة، فرق التمويل) عبر Group Policy: Computer Configuration > Administrative Templates > System > Group Policy > Phone-PC Linking on this Device.
2. الانتقال من MFA المعتمد على SMS إلى مصادقة قائمة على FIDO2/WebAuthn أو مفاتيح أمنية فعلية مثل YubiKey لجميع الحسابات الإدارية والتطبيقات الحرجة.
3. نشر قواعد كشف EDR/XDR لرصد إنشاء عمليات regasm.exe من مسارات غير قياسية، ومراقبة الوصول إلى قواعد بيانات Phone Link المحلية تحت %LOCALAPPDATA%\Packages\Microsoft.YourPhone_*.
4. منع تنفيذ ملفات ScreenConnect وأدوات RMM غير المُعتمدة عبر AppLocker أو Windows Defender Application Control (WDAC).
5. تحديث سيناريوهات Threat Hunting لتشمل IOCs الخاصة بـ CloudZ المنشورة من Talos، ودمجها مع منصة SIEM وفق متطلبات SAMA CSCC للرصد المستمر (3.3.14).
6. إجراء حملة توعية موجّهة للموظفين حول مخاطر تحديثات RMM المزيّفة وضرورة التحقق من المصدر قبل التنفيذ.

الخلاصة

يكشف ظهور CloudZ تحوّلاً نوعياً في استراتيجيات سرقة بيانات الاعتماد المصرفية: لم يعد المهاجمون بحاجة لإصابة الهاتف، بل يكفي أن يستغلوا جسر التزامن الشرعي بين Windows والهاتف. على فرق الأمن في البنوك السعودية إعادة تقييم اعتمادها على MFA المبني على SMS، وتقوية ضوابط النقاط الطرفية بما يتوافق مع SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.