CloudZ-RAT missbraucht Microsoft Phone Link, um SMS und Einmalcodes abzugreifen

Zusammenfassung

Eine neue Version des Remote-Access-Tools CloudZ setzt ein bislang unbekanntes Schad-Plugin namens Pheno ein, das die Verbindung von Microsoft Phone Link kapert, um sensible Codes von Mobilgeräten abzugreifen. Das berichten Sicherheitsforscher von Cisco Talos. Microsoft Phone Link ist auf Windows 10 und 11 vorinstalliert und erlaubt es, vom Computer aus Anrufe zu führen, auf Textnachrichten zu antworten oder Benachrichtigungen vom Mobilgerät – unter Android und iOS – einzusehen. Genau diese Funktion nutzen die Angreifer aus: Über die Anwendung können sie sensible Nachrichten abfangen, die auf das Telefon des Opfers gelangen, ohne das Gerät selbst kompromittieren zu müssen. Entdeckt wurde die Schadsoftware bei einem Angriff, der mindestens seit Januar aktiv war. Die Forscher gehen davon aus, dass es dem Täter darum ging, Zugangsdaten und temporäre Passcodes zu erbeuten. Pheno überwacht aktive Phone-Link-Sitzungen und greift auf deren lokale SQLite-Datenbank zu, in der sich SMS und Einmalpasswörter (OTPs) befinden können. So gelangt der Angreifer an vertrauliche Informationen, ohne das Smartphone direkt anzugreifen.

Microsoft Phone Link verbindet Windows-PCs mit Android- und iOS-Geräten, um Anrufe, Nachrichten und Benachrichtigungen am Computer zu spiegeln. Pheno setzt genau hier an: Das Plugin sucht nach aktiven Phone-Link-Sitzungen und liest die zugehörige lokale SQLite-Datenbank aus. Diese kann SMS-Nachrichten und Einmalpasswörter enthalten.

„Bei bestätigter Phone-Link-Aktivität auf dem Rechner des Opfers kann der Angreifer mit dem CloudZ-RAT die SQLite-Datenbankdatei der Phone-Link-Anwendung abfangen und damit potenziell SMS-basierte OTP-Nachrichten sowie Benachrichtigungen anderer Authenticator-Anwendungen kompromittieren“, erklärt Cisco Talos. Der Vorteil für den Täter: Er erhält Zugriff auf diese Daten, ohne das Mobilgerät selbst übernehmen zu müssen.

Über die Funktionen des Pheno-Plugins hinaus kann CloudZ auch in Webbrowsern gespeicherte Daten ins Visier nehmen, Host-Systeme profilieren und Befehle ausführen. Um seinen HTTP-Verkehr wie legitime Browseranfragen aussehen zu lassen, wechselt CloudZ laut Cisco zwischen drei fest hinterlegten User-Agent-Strings. Jede HTTP-Anfrage enthält zudem Anti-Caching-Header, damit Proxys und CDNs keine Details zu Command-and-Control- oder Staging-Servern zwischenspeichern.

Den ursprünglichen Infektionsweg konnten die Forscher nicht bestimmen. Sie stellten jedoch fest, dass die Infektion beginnt, wenn das Opfer ein gefälschtes ScreenConnect-Update ausführt. Dieses lädt einen in Rust geschriebenen Loader nach, gefolgt von einem .NET-Loader, der den CloudZ-RAT installiert und über eine geplante Aufgabe für dauerhafte Persistenz sorgt.

Der .NET-Loader bringt außerdem Mechanismen zur Abwehr von Analysen mit. Dazu zählen zeitbasierte Schritte zur Umgehung von Sandboxes, Prüfungen auf Analysewerkzeuge wie Wireshark, Fiddler, Procmon und Sysmon sowie die Suche nach Zeichenketten, die auf virtuelle Maschinen oder Sandbox-Umgebungen hindeuten.

Zum Schutz empfiehlt Cisco Talos, auf SMS-basierte OTP-Dienste zu verzichten und Authenticator-Apps zu nutzen, die keine abfangbaren Push-Benachrichtigungen erfordern. Für besonders sensible Informationen raten die Forscher zu phishing-resistenten Lösungen wie Hardware-Schlüsseln. Zur Absicherung der eigenen Umgebung hat Cisco Talos zudem eine Reihe von Kompromittierungsindikatoren veröffentlicht, darunter URLs, Hashes schädlicher Komponenten, Domains und IP-Adressen.

CloudZ-RAT missbraucht Microsoft Phone Link, um SMS und Einmalcodes abzugreifen

Ähnliche Artikel

Neueste Artikel