CloudZ RAT Malware: Microsoft Phone Link wird zum Einfallstor für OTP-Diebstahl

Am Von In UP2DATE

This content is protected against AI scraping.

CloudZ ist ein Remote Access Tool (RAT), das von Cyberkriminellen für gezielte Angriffe eingesetzt wird. Es handelt sich um Schadsoftware, die Angreifern Fernzugriff auf infizierte Systeme ermöglicht.

Wer ist betroffen?

Betroffen sind Windows 10- und Windows 11-Nutzer, die die vorinstallierte Microsoft Phone Link-App verwenden. Diese Anwendung ermöglicht es, Mobilgeräte (Android und iOS) mit dem PC zu verbinden, um Anrufe entgegenzunehmen, Texte zu beantworten und Benachrichtigungen einzusehen.

Besonders gefährdet sind Nutzer, die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) oder One-Time Passwords (OTPs) empfangen, da diese direkt über die Phone Link-Synchronisation abgegriffen werden können.

Welcher Schaden ist möglich?

Der Angriff ermöglicht Angreifern den Zugriff auf hochsensible Informationen ohne Kompromittierung des Mobilgeräts selbst:

  • Abfangen von SMS-Nachrichten, einschließlich Bestätigungscodes
  • Diebstahl von One-Time Passwords (OTPs) für Kontozugänge
  • Erfassung von Authentifikator-Benachrichtigungen
  • Zusätzlich kann CloudZ RAT Browserdaten stehlen, Bildschirmaufnahmen machen und Dateioperationen durchführen

Dies eröffnet Angreifern die Möglichkeit, sich Zugang zu finanziellen Konten, E-Mail-Konten und anderen geschützten Diensten zu verschaffen.

Das Einstiegsszenario

Die Infektion beginnt mit einem Social Engineering-Angriff:

  1. Fake-Update als Täuschung: Opfer werden dazu gebracht, ein gefälschtes „ScreenConnect Update“ auszuführen
  2. Erster Loader: Dieses Update installiert einen Rust-basierten Loader
  3. Zweiter Loader: Darauf folgt ein .NET Loader, der Anti-Analyse-Mechanismen enthält
  4. Hauptmalware: Der .NET Loader installiert schließlich die CloudZ RAT und richtet Persistenz über einen geplanten Task ein

Die Forscher von Cisco Talos konnten den ursprünglichen Zugangsvektor nicht vollständig identifizieren, aber das Muster deutet auf gezielte Social-Engineering-Kampagnen hin.

Verteidigungsempfehlungen

Cisco Talos empfiehlt folgende Schutzmaßnahmen:

  1. SMS-basierte OTPs vermeiden – Stattdessen Authenticator-Apps nutzen
  2. Hardware-Security-Keys für besonders sensible Konten einsetzen
  3. Vorsicht bei Software-Updates – Nur offizielle Quellen verwenden
  4. Indikatoren für Kompromittierung (IOCs) von Cisco Talos in Sicherheitssysteme integrieren

Technischer Hintergrund

Die Pheno-Plugin-Erweiterung: Die neue Version der CloudZ Remote Access Tool (RAT) nutzt das bisher unbekannte Malicious Plugin „Pheno“:

  • Überwachung: Pheno scannt nach aktiven Phone Link-Sitzungen
  • Datenbankzugriff: Bei erkannten Sitzungen greift es auf die lokale SQLite-Datenbank von Phone Link zu
  • Extraktion: Aus dieser Datenbank können SMS und OTPs ausgelesen werden
[https://blog.talosintelligence.com/cloudz-pheno-infostealer/]

Beitragsbild: KIgeneriert.