Ga naar inhoud
  • Drifter

    Door Drifter

    Drifter

    Door Drifter

    Stealthy malware misbruikt Microsoft Phone Link om SMS OTP's over te hevelen van zakelijke pc's

    Een nieuwe en tot voor kort onbekende malwarecampagne maakt misbruik van de Windows-functie Microsoft Phone Link om sms-berichten en eenmalige verificatiecodes (OTP’s) te onderscheppen. Opvallend is dat deze aanval niet gericht is op de smartphone zelf, maar op de gekoppelde Windows-pc, waardoor beveiligingsmaatregelen op mobiele apparaten worden omzeild.

    De campagne werd in januari 2026 voor het eerst waargenomen door onderzoekers van Cisco Talos. Zij identificeerden een nieuwe remote access trojan (RAT) genaamd CloudZ, samen met een bijbehorende plug-in genaamd Pheno. Deze combinatie stelt aanvallers in staat om inloggegevens te stelen en mogelijk ook OTP-codes te onderscheppen die via de Phone Link-functionaliteit op een Windows-systeem worden gesynchroniseerd.

    Misbruik van de koppeling tussen telefoon en pc

    In plaats van de smartphone direct te compromitteren, maakt de aanval misbruik van de vertrouwensrelatie tussen een telefoon en een Windows-computer. De Phone Link-app (voorheen “Your Phone”) synchroniseert namelijk berichten, meldingen en oproepen van een smartphone naar de pc. Dit gemak vormt tegelijkertijd een nieuw aanvalsvlak.

    De Pheno-plug-in richt zich specifiek op deze gesynchroniseerde data. Hij zoekt naar lokaal opgeslagen gegevens van Phone Link op de Windows-machine, waaronder SQLite-databases waarin sms-berichten en notificaties worden bewaard. Hierdoor kunnen aanvallers toegang krijgen tot gevoelige informatie zoals verificatiecodes en meldingen van authenticatie-apps.

    Dit betekent dat zelfs wanneer een smartphone goed beveiligd is, een gecompromitteerde pc alsnog toegang kan geven tot dezelfde gevoelige gegevens.

    Technische werking van de aanval

    De aanval verloopt via meerdere stappen:

    1. Initiële infectie
      De exacte eerste toegangsmethode is onbekend, maar slachtoffers worden vermoedelijk misleid om een schadelijk bestand uit te voeren dat zich voordoet als een update voor ScreenConnect.
    2. Loader en installatie
      Een eerste payload (geschreven in Rust) met namen zoals “systemupdates.exe” installeert een tweede component: een .NET-loader die zich voordoet als een onschuldig tekstbestand.
    3. Persistentie
      De malware maakt een geplande taak aan met de naam “SystemWindowsApis”, die bij het opstarten wordt uitgevoerd met verhoogde rechten via het legitieme Windows-hulpprogramma regasm.exe.
    4. Anti-analyse technieken
      De loader controleert actief of hij in een analyse- of sandboxomgeving draait. Dit gebeurt onder andere door:
      • Het meten van vertragingen in slaapfuncties (sleep timing checks)
      • Het detecteren van bekende beveiligingstools zoals Wireshark, Fiddler, Procmon en Sysmon
        Als dergelijke tools worden gevonden, stopt de malware zichzelf om detectie te voorkomen.
    5. Uitvoering van CloudZ
      De uiteindelijke payload wordt versleuteld in het geheugen geladen en uitgevoerd, zonder zichtbaar bestand op de schijf achter te laten.

    Functionaliteiten van CloudZ

    De CloudZ RAT opent een versleutelde verbinding met een command-and-control (C2) server en biedt aanvallers uitgebreide mogelijkheden, waaronder:

    • Diefstal van inloggegevens
    • Uitvoeren van externe commando’s
    • Bestandsbeheer en -exfiltratie
    • Downloaden van aanvullende modules (zoals Pheno)

    De malware gebruikt wisselende user-agent strings om netwerkverkeer te vermommen als legitiem browserverkeer, waardoor detectie moeilijker wordt.

    Rol van de Pheno-plug-in

    De Pheno-plug-in is specifiek ontworpen om Phone Link-activiteit te monitoren. Dit gebeurt door:

    • Het scannen van actieve processen op namen zoals:
      • “YourPhone”
      • “PhoneExperienceHost”
      • “Link to Windows”
    • Het controleren op proxyverbindingen die door Phone Link worden gebruikt

    Wanneer een actieve sessie wordt gedetecteerd, markeert de malware het systeem als “gekoppeld”. Dit stelt aanvallers in staat om in realtime mee te kijken met binnenkomende sms-berichten en OTP-verzoeken.

    Waarom deze aanval bijzonder is

    Wat deze aanval onderscheidt van eerdere methoden, is dat:

    • De smartphone zelf niet hoeft te worden gehackt
    • De aanval zich richt op endpoint-systemen (pc’s) in plaats van mobiele apparaten
    • Multifactor-authenticatie (MFA), met name via sms of notificaties, indirect wordt omzeild

    Hiermee verschuift het risico van mobiele beveiliging naar endpoint-beveiliging binnen organisaties.

    Impact voor bedrijven

    Voor enterprise-omgevingen is dit een belangrijke ontwikkeling. Veel beveiligingsstrategieën richten zich sterk op mobiele apparaten, terwijl deze aanval juist laat zien dat gesynchroniseerde data op werkstations een zwakke plek kan vormen.

    Zelfs wanneer MFA correct is geïmplementeerd, kan deze techniek alsnog toegang geven tot accounts als een Windows-systeem wordt gecompromitteerd.

    Door: Drifter

    Ga naar articles

    Feedback Gebruiker

    Aanbevolen Reacties

    Er zijn geen reacties om weer te geven.



    Log in om te reageren

    Je kunt een reactie achterlaten na het inloggen



    Login met de gegevens die u gebruikt bij softtrack

×
×
  • Nieuwe aanmaken...