CloudZ-RAT missbraucht Microsoft Phone Link für den Diebstahl von Zugangsdaten und Einmalpasswörtern

Zusammenfassung

Sicherheitsforscher von Cisco Talos haben einen Angriff offengelegt, bei dem ein Fernwartungs-Trojaner namens CloudZ in Kombination mit einem bislang undokumentierten Plugin namens Pheno zum Diebstahl von Zugangsdaten eingesetzt wird. Laut den Talos-Forschern Alex Karkins und Chetan Raghuprasad zielen die Funktionen von CloudZ und Pheno darauf ab, die Anmeldedaten der Opfer und möglicherweise Einmalpasswörter (OTPs) zu erbeuten. Das Besondere an der Methode: Pheno kapert die etablierte Verbindung zwischen PC und Smartphone, indem es die in Windows integrierte Anwendung Microsoft Phone Link missbraucht. So lassen sich aktive Phone-Link-Prozesse überwachen und sensible mobile Daten wie SMS und Einmalpasswörter abgreifen, ohne dass auf dem Smartphone selbst Schadsoftware installiert werden muss. Damit zeigt der Fall, wie legitime Funktionen zur geräteübergreifenden Synchronisierung unbeabsichtigte Angriffswege eröffnen und die Zwei-Faktor-Authentifizierung aushebeln können. Nach Angaben des Unternehmens kam die Schadsoftware im Rahmen einer Einbruchskampagne zum Einsatz, die mindestens seit Januar 2026 aktiv ist. Eine Zuordnung zu einer bekannten Angreifergruppe gibt es bislang nicht.

Phone Link ist fester Bestandteil von Windows 10 und Windows 11 und erlaubt es Nutzern, ihren Computer per WLAN und Bluetooth mit einem Android-Gerät oder iPhone zu koppeln. Über die Anwendung lassen sich Anrufe führen und entgegennehmen, Nachrichten senden und Benachrichtigungen verwerfen. Genau diese Synchronisierungsfunktion machen sich die bislang unbekannten Angreifer zunutze: Mit CloudZ und dem Pheno-Plugin prüfen sie zunächst, ob Phone Link in der Zielumgebung aktiv ist, und greifen anschließend auf die SQLite-Datenbankdatei zu, in der die synchronisierten Telefondaten abgelegt werden.

Die genaue Methode für den Erstzugriff ist Talos zufolge noch nicht geklärt. Nachdem die Angreifer Fuß gefasst haben, platzieren sie eine gefälschte ausführbare Datei, die sich als ConnectWise ScreenConnect ausgibt. Diese lädt einen .NET-Loader herunter und führt ihn aus. Der ursprüngliche Dropper nutzt zudem ein eingebettetes PowerShell-Skript, um über eine geplante Aufgabe Persistenz herzustellen, die den schädlichen .NET-Loader startet.

Der zwischengeschaltete Loader führt Hardware- und Umgebungsprüfungen durch, um einer Erkennung zu entgehen, und installiert anschließend den modular aufgebauten CloudZ-Trojaner. Nach dem Start entschlüsselt der in .NET kompilierte Trojaner eine eingebettete Konfiguration, baut eine verschlüsselte Socket-Verbindung zum Command-and-Control-Server (C2) auf und wartet auf Base64-codierte Anweisungen. Über diese kann er Zugangsdaten ausschleusen und weitere Plugins nachladen.

Für die Aufklärung der Phone-Link-Anwendung kommt das Plugin Pheno zum Einsatz. Laut Talos durchsucht das Plugin die Microsoft-Phone-Link-Anwendung auf dem Opfersystem und schreibt die gesammelten Daten in eine Ausgabedatei in einem Zwischenspeicherordner. CloudZ liest diese Phone-Link-Daten anschließend aus dem Ordner wieder ein und übermittelt sie an den C2-Server.

Da der Angriff direkt an der PC-zu-Smartphone-Brücke ansetzt, entfällt die Notwendigkeit, das Mobilgerät selbst zu kompromittieren. Auf diesem Weg lassen sich nach Darstellung der Forscher SMS und Einmalpasswörter abfangen und damit Verfahren der Zwei-Faktor-Authentifizierung umgehen.

CloudZ-RAT missbraucht Microsoft Phone Link für den Diebstahl von Zugangsdaten und Einmalpasswörtern

Ähnliche Artikel

Neueste Artikel