MalwareSchwachstellenHackerangriffe

CloudZ-RAT nutzt Microsoft Phone Link aus: Malware stiehlt SMS und Einmal-Passwörter vom Windows-PC

Von CyberDeutsch Redaktion
CloudZ-RAT nutzt Microsoft Phone Link aus: Malware stiehlt SMS und Einmal-Passwörter vom Windows-PC
Zusammenfassung

Die CloudZ-Malware offenbart eine kritische Sicherheitslücke im Microsoft Phone Link, einer auf Windows 10 und 11 vorinstallierten Anwendung, die Anrufe, SMS und Benachrichtigungen zwischen Computer und Mobilgerät synchronisiert. Ein neu entdecktes Pheno-Plugin ermöglicht es Angreifern, SMS-Nachrichten und Einmalpasswörter (OTPs) direkt aus der lokalen SQLite-Datenbank von Phone Link zu extrahieren – ohne das Mobilgerät selbst zu kompromittieren. Die Cisco Talos-Forscher haben eine aktive Angriffskampagne dokumentiert, die mindestens seit Januar andauert und gezielt auf die Diebstahl von Anmeldedaten abzielt. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, insbesondere da viele Organisationen SMS-basierte Zwei-Faktor-Authentifizierung nutzen. Die Infektionskette beginnt mit gefälschten ScreenConnect-Updates und nutzt ausgefeilte Anti-Analyse-Techniken zur Evasion. Das Bedrohungsszenario unterstreicht die Notwendigkeit, weg von SMS-basierten OTPs zu migrieren und zu phishing-resistenten Lösungen wie Hardware-Sicherheitsschlüsseln zu wechseln, um sensible Daten und Systeme vor dieser wachsenden Bedrohung zu schützen.

Die Bedrohung namens CloudZ ist ein Remote-Access-Trojaner, der durch seine Vielseitigkeit und Verschleierungstechniken besticht. Die neu entdeckte Pheno-Komponente zielt gezielt auf Microsoft Phone Link ab – eine Funktion, die unter Windows 10 und 11 standardmäßig installiert ist und es Nutzern ermöglicht, Anrufe zu führen, Textnachrichten zu beantworten und Benachrichtigungen zu verwalten, während die verbundenen mobilen Geräte in der Nähe bleiben.

Wie Pheno arbeitet

Das Plugin überwacht aktive Phone-Link-Sitzungen und greift auf die lokale SQLite-Datenbank der Anwendung zu. Diese Datenbank speichert SMS-Nachrichten und OTP-Codes, die für die Zwei-Faktor-Authentifizierung kritisch sind. “Mit bestätigter Phone-Link-Aktivität auf dem Opfer-System kann der Angreifer potenziell diese SQLite-Datenbankdatei abfangen und so SMS-basierte OTP-Nachrichten sowie Benachrichtigungen von Authenticator-Apps kompromittieren”, erklärt Cisco Talos.

Infektionsverlauf und Verschleierung

Die Infektionskette beginnt mit einer gefälschten ScreenConnect-Update-Datei, die ein Rust-basiertes Loader-Skript installiert. Darauf folgt ein .NET-basierter Loader, der CloudZ RAT bereitstellt und durch geplante Tasks eine Persistenz auf dem System sichert. Um Sicherheitsanalysen zu erschweren, integriert der Loader mehrere Anti-Analyse-Mechanismen: Zeitbasierte Sandbox-Umgehungstechniken, Scans nach bekannten Analyse-Tools wie Wireshark, Fiddler und Sysmon sowie VM- und Sandbox-Erkennungsmuster.

CloudZ rotiert zudem zwischen drei verschiedenen Benutzer-Agent-Strings bei HTTP-Anfragen, um den Traffic als legitime Browser-Aktivität zu tarnen. Zusätzlich verwendet die Malware Anti-Caching-Header, um zu verhindern, dass Proxies oder Content-Delivery-Networks die Command-and-Control-Details speichern.

Empfehlungen zum Schutz

Cisco Talos empfiehlt Nutzern dringend, von SMS-basierten OTP-Verfahren abzusehen und stattdessen auf Authenticator-Apps zu setzen, die keine Push-Benachrichtigungen erfordern. Für besonders sensible Informationen sollten Hardware-Security-Keys wie FIDO2-Token eingesetzt werden, da diese phishing-resistent sind.

Die Forscher haben Indikatoren für eine Kompromittierung (IoCs) veröffentlicht – darunter URLs, Hashes und IP-Adressen –, die Sicherheitsteams zur Verteidigung ihrer Infrastruktur einsetzen können. Deutsche Unternehmen sollten ihre Windows-Systeme und Phone-Link-Konfigurationen überprüfen sowie ihre Belegschaft für diese neue Bedrohung sensibilisieren.

Ähnliche Artikel