Vorsicht: CloudZ-Trojaner stiehlt Passwörter von Windows-Nutzern
Die Schadsoftware CloudZ nutzt Microsoft Phone Link unter Windows aus, um sensible SMS und Einmalpasswörter abzugreifen. Kriminelle infizieren dafür nicht das Smartphone, sondern lesen heimlich die lokale Datenbank der App auf dem PC aus.
Sicherheitsforscher von Talos berichten, dass CloudZ ein neu entdecktes Plugin namens Pheno verwendet. Die Erweiterung überwacht den Rechner kontinuierlich auf aktive Synchronisationsprozesse. Sobald eine Verbindung zwischen PC und Smartphone besteht, liest das Plugin die Datenbankdatei aus und übermittelt die abgefangenen Codes für die Zwei-Faktor-Authentifizierung an die Server der Angreifer.
Die initiale Infektion beginnt häufig mit einem gefälschten Update für die Fernwartungssoftware ScreenConnect. Führen die Opfer die manipulierte Datei aus, startet im Hintergrund ein mehrstufiger Ladeprozess. Die Schadsoftware prüft, ob sie sich in einer isolierten Analyseumgebung befindet. Entdeckt das Programm bekannte Überwachungswerkzeuge wie Wireshark oder Fiddler, stoppt es den Vorgang, um unentdeckt zu bleiben.
Andernfalls nistet sich der Trojaner über geplante Aufgaben im System ein. Ab diesem Moment arbeitet die Malware weitgehend unbemerkt. Die Entwickler haben großen Wert auf Verschleierung gelegt, dadurch erkennen herkömmliche Virenscanner die Bedrohung oft erst bei laufendem Datenabfluss. Der Diebstahl der Einmalpasswörter ermöglicht es den Kriminellen, auch gut gesicherte Konten bei Banken oder E-Mail-Anbietern zu übernehmen.
Die geräteübergreifende Synchronisierung bietet Komfort, birgt aber Sicherheitsrisiken. Ist der Computer kompromittiert, geraten auch Informationen des gekoppelten mobilen Systems in Gefahr.
Der Fall verdeutlicht, dass Angreifer nicht zwingend mobile Betriebssysteme kompromittieren müssen, um an Daten zu gelangen. Die Ausnutzung legitimer Schnittstellen auf dem Desktop kann ausreichen, um etablierte Sicherheitsmechanismen auszuhebeln.
Nutzt ihr die Synchronisierung zwischen PC und Smartphone im Alltag oder überwiegen die Sicherheitsbedenken? Teilt eure Erfahrungen gerne in den Kommentaren!
Download Wireshark - Tool zur Datenverkehrs-Überwachung
Siehe auch:
Gefahr durch Microsoft Phone Link
Microsoft Phone Link, früher als Your Phone bekannt, ist auf aktuellen Windows-Versionen vorinstalliert. Die Anwendung verbindet den Desktop-PC über WLAN und Bluetooth mit Android- und iOS-Geräten. Nutzer können Anrufe entgegennehmen oder Textnachrichten am Monitor lesen. Die Software speichert die synchronisierten Inhalte in einer lokalen SQLite-Datenbank auf der Festplatte.Sicherheitsforscher von Talos berichten, dass CloudZ ein neu entdecktes Plugin namens Pheno verwendet. Die Erweiterung überwacht den Rechner kontinuierlich auf aktive Synchronisationsprozesse. Sobald eine Verbindung zwischen PC und Smartphone besteht, liest das Plugin die Datenbankdatei aus und übermittelt die abgefangenen Codes für die Zwei-Faktor-Authentifizierung an die Server der Angreifer.
Die initiale Infektion beginnt häufig mit einem gefälschten Update für die Fernwartungssoftware ScreenConnect. Führen die Opfer die manipulierte Datei aus, startet im Hintergrund ein mehrstufiger Ladeprozess. Die Schadsoftware prüft, ob sie sich in einer isolierten Analyseumgebung befindet. Entdeckt das Programm bekannte Überwachungswerkzeuge wie Wireshark oder Fiddler, stoppt es den Vorgang, um unentdeckt zu bleiben.
Andernfalls nistet sich der Trojaner über geplante Aufgaben im System ein. Ab diesem Moment arbeitet die Malware weitgehend unbemerkt. Die Entwickler haben großen Wert auf Verschleierung gelegt, dadurch erkennen herkömmliche Virenscanner die Bedrohung oft erst bei laufendem Datenabfluss. Der Diebstahl der Einmalpasswörter ermöglicht es den Kriminellen, auch gut gesicherte Konten bei Banken oder E-Mail-Anbietern zu übernehmen.
Die geräteübergreifende Synchronisierung bietet Komfort, birgt aber Sicherheitsrisiken. Ist der Computer kompromittiert, geraten auch Informationen des gekoppelten mobilen Systems in Gefahr.
Schutzmaßnahmen im Alltag
Um sich vor CloudZ zu schützen, empfehlen Experten folgende Schritte:- Microsoft Phone Link deaktivieren, wenn das Feature nicht zwingend benötigt wird.
- Für die Zwei-Faktor-Authentifizierung hardwarebasierte Sicherheitsschlüssel statt SMS-Codes nutzen.
- Software-Updates ausschließlich von den offiziellen Webseiten der Hersteller herunterladen.
Der Fall verdeutlicht, dass Angreifer nicht zwingend mobile Betriebssysteme kompromittieren müssen, um an Daten zu gelangen. Die Ausnutzung legitimer Schnittstellen auf dem Desktop kann ausreichen, um etablierte Sicherheitsmechanismen auszuhebeln.
Nutzt ihr die Synchronisierung zwischen PC und Smartphone im Alltag oder überwiegen die Sicherheitsbedenken? Teilt eure Erfahrungen gerne in den Kommentaren!
Download Wireshark - Tool zur Datenverkehrs-Überwachung
Wie stiehlt CloudZ meine Passwörter?
Der Trojaner nutzt ein Plugin namens "Pheno", um die App Microsoft Phone Link auf Windows-PCs zu überwachen. Sobald eine aktive Verbindung zwischen PC und Smartphone besteht, greift die Malware laut Sicherheitsforschern auf die lokale Datenbank der App zu.
In dieser SQLite-Datenbank werden synchronisierte Handydaten wie SMS-Nachrichten im Klartext gespeichert. Dadurch kann CloudZ sensible Einmalpasswörter (OTPs) abfangen, die Sie für Logins benötigen, und unbemerkt an die Angreifer weiterleiten.
In dieser SQLite-Datenbank werden synchronisierte Handydaten wie SMS-Nachrichten im Klartext gespeichert. Dadurch kann CloudZ sensible Einmalpasswörter (OTPs) abfangen, die Sie für Logins benötigen, und unbemerkt an die Angreifer weiterleiten.
Ist mein Smartphone infiziert?
Nein, das ist der raffinierte Teil dieses Angriffs. Ihr Android-Gerät oder iPhone bleibt völlig unberührt und virenfrei. Die Malware nistet sich ausschließlich auf Ihrem Windows-Rechner ein und greift die Daten dort ab.
Das bedeutet für Ihren IT-Alltag: Wenn Zugangsdaten kompromittiert wurden, obwohl Sie Ihr Handy stets bei sich hatten, könnte der PC die Schwachstelle sein. Ein reiner Virenscan des Smartphones würde in diesem Fall keine Ergebnisse liefern.
Das bedeutet für Ihren IT-Alltag: Wenn Zugangsdaten kompromittiert wurden, obwohl Sie Ihr Handy stets bei sich hatten, könnte der PC die Schwachstelle sein. Ein reiner Virenscan des Smartphones würde in diesem Fall keine Ergebnisse liefern.
Sind meine 2FA-Codes noch sicher?
Das hängt von der verwendeten Methode ab. SMS-basierte Zwei-Faktor-Authentifizierung ist durch diesen Angriff stark gefährdet. Da Phone Link Ihre SMS auf den PC spiegelt, kann die Malware diese Codes problemlos mitlesen.
Es heißt, dass auch Benachrichtigungen von Authenticator-Apps abgefangen werden könnten, wenn diese auf den PC gespiegelt werden. Setzen Sie stattdessen auf Hardware-Sicherheitsschlüssel oder Apps ohne Push-Benachrichtigungen, um auf der sicheren Seite zu sein.
Es heißt, dass auch Benachrichtigungen von Authenticator-Apps abgefangen werden könnten, wenn diese auf den PC gespiegelt werden. Setzen Sie stattdessen auf Hardware-Sicherheitsschlüssel oder Apps ohne Push-Benachrichtigungen, um auf der sicheren Seite zu sein.
Muss ich Phone Link jetzt löschen?
Eine sofortige Deinstallation ist nicht zwingend erforderlich, da die App selbst keine Sicherheitslücke aufweist. Sie wird lediglich von der Malware missbraucht, wenn Ihr PC bereits im Vorfeld infiziert wurde.
Wenn Sie die App in Ihrem Arbeitsumfeld jedoch nicht zwingend benötigen, empfiehlt es sich, sie zu deaktivieren. Prüfen Sie in den Windows-Einstellungen unter Bluetooth & Geräte, ob eine Kopplung aktiv ist, und heben Sie diese im Zweifel auf.
Wenn Sie die App in Ihrem Arbeitsumfeld jedoch nicht zwingend benötigen, empfiehlt es sich, sie zu deaktivieren. Prüfen Sie in den Windows-Einstellungen unter Bluetooth & Geräte, ob eine Kopplung aktiv ist, und heben Sie diese im Zweifel auf.
Wie schütze ich mich im Arbeitsalltag?
Der wichtigste Schutz ist die Prävention auf dem PC. Laden Sie Software und Updates nur aus offiziellen Quellen herunter. Die aktuelle Kampagne tarnt sich angeblich als gefälschtes Update für die Fernwartungssoftware ScreenConnect.
Trennen Sie zudem private und berufliche Datenströme. Verbinden Sie Ihr privates Smartphone nicht leichtfertig mit dem Firmen-PC. Nutzen Sie für kritische IT-Systeme stets phishing-resistente MFA-Methoden, die nicht auf SMS basieren.
Trennen Sie zudem private und berufliche Datenströme. Verbinden Sie Ihr privates Smartphone nicht leichtfertig mit dem Firmen-PC. Nutzen Sie für kritische IT-Systeme stets phishing-resistente MFA-Methoden, die nicht auf SMS basieren.
Wie gelangt der Trojaner auf den PC?
Der genaue initiale Infektionsweg ist laut Cisco Talos noch nicht abschließend geklärt. Bekannt ist jedoch, dass ein gefälschtes Programm-Update ausgeführt wird, welches im Hintergrund einen sogenannten "Dropper" installiert.
Dieser Dropper richtet eine geplante Windows-Aufgabe ein, um die Schadsoftware bei jedem Systemstart automatisch zu laden. Dabei nutzt er legitime Windows-Werkzeuge wie regasm.exe, um unter dem Radar von Virenscannern zu bleiben.
Dieser Dropper richtet eine geplante Windows-Aufgabe ein, um die Schadsoftware bei jedem Systemstart automatisch zu laden. Dabei nutzt er legitime Windows-Werkzeuge wie regasm.exe, um unter dem Radar von Virenscannern zu bleiben.
Wie erkenne ich einen Angriff?
CloudZ arbeitet sehr unauffällig und läuft primär im Arbeitsspeicher. Die Malware prüft sogar, ob Analyse-Tools wie Wireshark aktiv sind, und beendet sich dann selbst. Ein manuelles Aufspüren ist für Endanwender daher extrem schwierig.
IT-Administratoren können jedoch nach bestimmten Indikatoren suchen. Die Malware legt beispielsweise Textdateien mit dem Namen phonelink-[COMPUTERNAME].txt in temporären Ordnern an, um die Überwachung der App zu protokollieren.
IT-Administratoren können jedoch nach bestimmten Indikatoren suchen. Die Malware legt beispielsweise Textdateien mit dem Namen phonelink-[COMPUTERNAME].txt in temporären Ordnern an, um die Überwachung der App zu protokollieren.
Zusammenfassung
- CloudZ-Malware stiehlt Einmalpasswörter über Microsoft Phone Link
- Angreifer lesen heimlich die lokale SQLite-Datenbank der App aus
- Das Phone Link Plugin Pheno überwacht aktive Synchronisationsprozesse
- Infektionen erfolgen häufig über gefälschte ScreenConnect-Updates
- Die Malware prüft auf Analyseumgebungen und stoppt bei Entdeckung
- Traditionelle Virenscanner erkennen die Bedrohung oft zu spät
- Deaktivieren Sie Phone Link, wenn Sie es nicht benötigen
- Nutzen Sie hardwarebasierte Sicherheitsschlüssel statt SMS-Codes
Siehe auch:
- Pwn2Own Automotive: Hacker knacken Tesla und viele Ladesysteme
- Irans Staatsfernsehen gehackt, sendet Kronprinz-Nachricht aus Exil
- Hacker oder Fehlalarm? Instagrams dubiose Flut an Passwort-Mails
- China-Hacker attackieren Taiwan - 2,6 Mio. Cyberangriffe jeden Tag
- Ubisoft-Server gehackt: 13 Mio. € an Credits für jeden einzelnen Spieler
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
- Minus 15 Prozent: Speicherkrise trifft die Smartphone-Hersteller hart
- Massiver Firewall-Hack: Viele der wichtigsten Netze der Welt geknackt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen