Sicherheitsforscher von Cisco Talos haben eine raffinierte Angriffsmethode dokumentiert, die zeigt, wie vertrauenswürdige Windows-Funktionen zu Einfallstoren für Cyberkriminelle werden können. Die Attacke kombiniert den modularen Remote-Access-Trojaner CloudZ mit einem neuen Plugin namens Pheno, um die Brücke zwischen Phone Link und verbundenen Mobilgeräten zu kapern.
Die Angriffskette im Detail
Die Infizierung beginnt mit einem bisher ungeklärten initialen Zugriffspunkt. Die Angreifer installieren eine gefälschte Update-Datei einer ScreenConnect-Anwendung, die wiederum einen .NET-Loader ausführt. Dieser lädt dann CloudZ auf den Windows-Rechner. CloudZ ist ein Schweizer Messer unter den Remote-Access-Trojanern: Er stiehlt Browser-Anmeldedaten, führt Shell-Befehle aus, zeichnet Bildschirminhalte auf und verwaltet Dateien. Nach der Installation stellt sich CloudZ mit einem verschlüsselten Socket zu einem Command-and-Control-Server verbunden ein und wartet auf Befehle.
Die Besonderheit liegt in der zweiten Phase: CloudZ deployed das Plugin Pheno, das speziell darauf abzielt, Phone Link-Prozesse zu erkennen und zu analysieren. Pheno scannt kontinuierlich nach aktiven Phone-Link-Instanzen (erkennbar an den Prozessnamen “YourPhone” und “PhoneExperienceHost”). Wenn das Plugin eine aktive Synchronisierungssitzung entdeckt, markiert es das System als “möglicherweise verbunden” – ein Signal für die Angreifer, dass sie SMS-Verkehr und OTP-Nachrichten abfangen können.
Bypass der Zwei-Faktor-Authentifizierung
Das Perfide: Alles passiert auf der Windows-Seite. Das Smartphone selbst wird nie mit Malware infiziert. Stattdessen greifen die Angreifer auf die SQLite-Datenbank von Phone Link zu, in der gesynchronisierte SMS und Benachrichtigungen von Authentifizierungs-Apps gespeichert werden. Ein Nutzer, dessen PC infiziert ist, bemerkt möglicherweise nichts – sein Handy funktioniert normal, die Zwei-Faktor-Authentifizierung scheint zu funktionieren. Doch seine Einmalpasswörter sind dem Angreifer bereits bekannt.
Implikationen für Unternehmen und Privatnutzer
Diese Angriffsmethode unterminiert ein zentrales Sicherheitskonzept: die Annahme, dass zwei Faktoren unabhängig sein sollten. Wenn SMS-OTPs jedoch auf dem infizierten PC synchronisiert werden, ist diese Unabhängigkeit aufgehoben. Das ist besonders für deutsche Organisationen relevant, die von DSGVO-konformen Sicherheitsmaßnahmen abhängen und im Falle eines Datenlecks Meldepflichten erfüllen müssen.
Cisco Talos empfiehlt Organisationen, Phone Link zu deaktivieren, wenn es nicht zwingend notwendig ist. Defender sollten stattdessen auf SMS-unabhängige Authentifizierungsmethoden wie Hardware-Keys oder App-basierte Authentifizierer ausweichen. Die Forscher haben Indicators of Compromise (IoCs), ClamAV-Signaturen und Snort-Regeln veröffentlicht, um Sicherheitsteams bei der Erkennung zu unterstützen.