Sicherheitsforscher des Unternehmens Cisco Talos haben in einer Analyse enthüllt, wie Angreifer mittels CloudZ-RAT (Remote Access Tool) und des Pheno-Plugins Sicherheitsmechanismen durchbrechen. Das Kernproblem: Die legitime Synchronisierungsfunktion Phone Link wird als Einfallstor für Cyber-Angriffe missbraucht.
Phone Link ist ein Standard-Feature in Windows 10 und Windows 11, das Nutzern ermöglicht, ihr Smartphone — ob Android oder iPhone — mit dem PC zu verbinden und so Anrufe, Nachrichten und Benachrichtigungen vom Computer aus zu verwalten. Diesen praktischen Dienst haben unbekannte Bedrohungsakteure nun zur Zielscheibe gemacht.
Die Angriffsweise funktioniert nach einem etablierten Schema: Zunächst verschaffen sich die Angreifer Zugang zum Windows-System — das genaue Einfallstor bleibt noch unklar. Sie platzieren eine manipulierte Version der legitimen Software ConnectWise ScreenConnect, die daraufhin einen .NET-Loader herunterlädt und ausführt. Zur Sicherung ihrer Präsenz nutzen sie PowerShell-Befehle, um eine geplante Aufgabe einzurichten, die den Malware-Code automatisch startet.
Einmal aktiviert, führt CloudZ Umgebungschecks durch, um Sicherheitstools zu erkennen und Abwehrmaßnahmen zu umgehen. Anschließend verbindet sich die Malware mit einem Command-and-Control-Server und wartet auf Befehle.
Hier kommt Pheno ins Spiel: Das Plugin späht die Phone Link-Anwendung aus und greift auf die SQLite-Datenbank zu, in der synchronisierte Telefondaten gespeichert sind. Dies ermöglicht den Diebstahl von Anmeldedaten und Einmal-Passwörtern — und damit das Brechen von Zwei-Faktor-Authentifizierung. Besonders tückisch: Das Smartphone selbst bleibt unauffällig, da keine Malware darauf installiert werden muss.
Für Unternehmen und Nutzer in Deutschland sind die Implikationen erheblich. Wer auf Zwei-Faktor-Authentifizierung setzt, glaubt sich oft sicher — dieser Angriff macht deutlich, dass dieser Schutz fragil sein kann. Betroffene Organisationen müssen unter Umständen Datenschutzverletzungen gemäß DSGVO melden, was zu Bußgeldern und Reputationsschaden führt.
Cisco Talos-Forscher Alex Karkins und Chetan Raghuprasad warnen, dass diese Angriffskette zeigt, wie legitime Synchonisierungsfunktionen ungewollt neue Angriffswege eröffnen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte diese Entwicklung analysieren und ggf. Sicherheitsempfehlungen herausgeben. Windows-Nutzer sollten zudem ihre Geräte auf Phishing-E-Mails prüfen und Phone Link-Aktivitäten überwachen.