Eine neue Version des **CloudZ** Remote Access Tools (RAT) setzt ein bisher ungesehenes bösartiges Plugin namens **Pheno** ein, das die **Microsoft Phone Link**-Verbindung kapert, um sensible Codes von mobilen Geräten zu stehlen. Die Malware wurde in einem Einbruch entdeckt, der seit mindestens Januar aktiv ist, und Forscher glauben, dass der Zweck des Angreifers darin bestand, Anmeldeinformationen und temporäre Passwörter zu stehlen.  **Microsoft Phone Link** ist auf Windows 10 und 11 vorinstalliert und ermöglicht es Benutzern, Anrufe zu tätigen, Textnachrichten zu senden und mobile Benachrichtigungen (Android und iOS) direkt von ihrem Computer aus anzuzeigen. Durch die Ausnutzung dieser Anwendung können Angreifer sensible Nachrichten abfangen, ohne das mobile Telefon des Ziels direkt zu kompromittieren. ### Pheno-Plugin-Details Forscher von **Cisco Talos** berichteten heute, dass **Pheno** aktive **Phone Link**-Sitzungen überwacht und auf dessen lokale SQLite-Datenbank zugreift, die SMS- und Einmalpasswörter (OTPs) enthalten kann. Dies verschafft Angreifern Zugriff auf sensible Informationen, ohne das mobile Gerät kompromittieren zu müssen. „Bei bestätigter Phone Link-Aktivität auf dem Computer des Opfers kann der Angreifer, der das **CloudZ** RAT verwendet, potenziell die SQLite-Datenbankdatei der Phone Link-Anwendung auf dem Computer des Opfers abfangen und so SMS-basierte OTP-Nachrichten und andere Benachrichtigungsnachrichten von Authenticator-Anwendungen kompromittieren“, heißt es in dem Bericht von **Cisco Talos**.  *Pheno scannt nach aktiven Telefonverbindungen. Quelle: Cisco Talos* ### CloudZ RAT-Fähigkeiten Zusätzlich zu den Fähigkeiten des **Pheno**-Plugins kann **CloudZ** Daten in Webbrowsern anvisieren, Hostsysteme profilieren und Befehle ausführen für: * Dateioperationen (löschen, herunterladen und schreiben) * Ausführung von Shell-Befehlen * Starten der Bildschirmaufzeichnung * Plugin-Management (laden, entfernen, auf Festplatte speichern) * Beenden des RAT-Prozesses **Cisco** berichtet, dass **CloudZ** zwischen drei fest kodierten User-Agent-Strings rotiert, um HTTP-Verkehr als legitime Browseranfragen erscheinen zu lassen. Jede HTTP-Anfrage enthält Anti-Caching-Header, um Proxys/CDNs daran zu hindern, C2- oder Staging-Serverdetails zu cachen. ### Infektionskette Forscher haben den anfänglichen Zugangsvektor noch nicht identifiziert, aber sie entdeckten, dass die Infektion beginnt, wenn das Opfer ein gefälschtes **ScreenConnect**-Update ausführt, das einen auf Rust basierenden Loader ablegt. Darauf folgt die Bereitstellung eines .NET-Loaders, der das **CloudZ** RAT installiert und über eine geplante Aufgabe Persistenz herstellt. Der .NET-Loader enthält auch Anti-Analyse-Prüfungen, wie zeitbasierte Sandbox-Umgehungsschritte, Prüfungen auf Analysetools wie **Wireshark**, **Fiddler**, **Procmon** und **Sysmon** sowie Prüfungen auf VM- und Sandbox-bezogene Zeichenketten.  *Die Umgebungsprüfungen des Loaders. Quelle: Cisco Talos* ### Abhilfemaßnahmen Um sich gegen solche Angriffe zu verteidigen, sollten Benutzer SMS-basierte OTP-Dienste vermeiden und Authenticator-Apps verwenden, die keine Push-Benachrichtigungen erfordern, die abgefangen werden könnten. Für sensiblere Informationen wird empfohlen, auf phishing-resistente Lösungen wie Hardware-Schlüssel umzusteigen. **Cisco Talos** hat eine Reihe von Indikatoren für Kompromittierung (IOCs) veröffentlicht, darunter URLs, Hashes für bösartige Komponenten, Domänen und IP-Adressen, die Verteidiger zum Schutz ihrer Umgebungen verwenden können. <div> <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.</a></h2> <p>KI hat vier Zero-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor.</p> <p>Auf dem Autonomous Validation Summit (12. &amp; 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, die Wirksamkeit von Kontrollen beweist und den Behebungszyklus schließt.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Sichern Sie sich Ihren Platz</a></p> </div> </div>