Den Ausgangspunkt der beobachteten Angriffe konnte Cisco Talos anhand von Telemetriedaten rekonstruieren, auch wenn der ursprüngliche Zugangsweg in die Opferumgebung unbekannt blieb. Den Anfang macht eine gefälschte ScreenConnect-Update-Datei. Diese führt einen zwischengeschalteten .NET-Loader aus, der schließlich den modularen RAT CloudZ auf dem Rechner installiert.

CloudZ bietet unter anderem das Auslesen von Browser-Zugangsdaten, die Ausführung von Shell-Befehlen, Bildschirmaufzeichnung, das Nachladen von Plugins und Dateiverwaltung. Nach dem Start entschlüsselt die Schadsoftware ihre Konfiguration, baut eine verschlüsselte Verbindung zum Command-and-Control-Server (C2) auf und wartet auf Befehle.

Über diesen Kanal lädt CloudZ das Plugin Pheno nach, das nach Angaben der Forscher Alex Karkins und Chetan Raghuprasad zuvor nicht bekannt war. Pheno erkennt, ob ein Nutzer sein Mobilgerät gerade über Phone Link mit einem Windows-Rechner synchronisiert. Dazu untersucht es gezielt Phone-Link-Prozesse wie „YourPhone" und „PhoneExperienceHost". Wird eine aktive Sitzung erkannt, markiert die Schadsoftware das System als „Maybe connected" („möglicherweise verbunden") – ein Hinweis darauf, dass die Angreifer SMS-Verkehr und die Zustellung von Einmalpasswörtern mitlesen könnten.

Die Aufklärungsdaten schreibt Pheno in eine Ausgabedatei in einem Zwischenspeicher-Ordner. CloudZ liest diese Daten aus und sendet sie an den C2-Server. Bei bestätigter Phone-Link-Aktivität kann der Angreifer laut Cisco Talos die SQLite-Datenbankdatei der Phone-Link-Anwendung auf dem Opfersystem abgreifen und damit potenziell SMS-basierte OTP-Nachrichten sowie Benachrichtigungen von Authentifizierungs-Apps kompromittieren.

Gegenüber Dark Reading betont Cisco Talos, dass der Missbrauch einer legitimen Windows-Funktion den Angreifern eine Umgehung der Zwei-Faktor-Authentifizierung ermöglicht – also genau jenen Sicherungsschritt aushebelt, auf den viele Nutzer vertrauen. Microsoft reagierte zunächst nicht auf eine Anfrage von Dark Reading. Der Fall reiht sich in weitere Erkenntnisse ein: Eine aktuelle Untersuchung von Proofpoint zeigte, dass Angreifer auf vielfältigen Wegen – insbesondere über Phishing-Kits – die Mehr-Faktor-Authentifizierung (MFA) umgehen.

Zum Schutz empfehlen die Forscher, auf sekundäre Authentifizierungsverfahren zu setzen, die nicht auf OTPs oder SMS beruhen. Organisationen mit vorinstalliertem Phone Link sollten prüfen, ob ihre Mitarbeiter die App tatsächlich benötigen, und sie andernfalls deaktivieren. Cisco Talos hat zudem Kompromittierungsindikatoren (IoCs) auf einer GitHub-Seite veröffentlicht sowie eine ClamAV-Signatur und Snort-Regeln (SIDs) zur Erkennung und Blockierung der Bedrohung bereitgestellt.