Microsoft Phone Link im Visier: Neue Hacker-Welle rollt über Windows-Systeme

Sicherheitsforscher schlagen Alarm: Eine neue Generation von Cyberangriffen umgeht etablierte Schutzmechanismen und nutzt künstliche Intelligenz zur Entdeckung jahrzehntealter Sicherheitslücken.

Seit Januar 2025 treibt ein ausgeklügeltes Schadsoftware-Paket sein Unwesen. Die Kombination aus dem CloudZ-Trojaner und dem Plugin Pheno zielt gezielt auf die Microsoft-Anwendung Phone Link ab – ein Tool, das Smartphone-Benachrichtigungen direkt auf den Windows-PC spiegelt. Die Sicherheitsexperten von Cisco Talos haben die Kampagne identifiziert und warnen vor einer neuen Dimension des Identitätsdiebstahls.

Da Angreifer zunehmend SMS-TANs und MFA-Benachrichtigungen direkt abfangen, ist ein umfassender Schutz des Mobilgeräts unverzichtbar. Erfahren Sie in diesem Ratgeber, wie Sie Ihr Gerät in wenigen Minuten gegen Datenmissbrauch und finanzielle Schäden absichern. Die 5 wichtigsten Sicherheitsmaßnahmen für Ihr Smartphone jetzt kostenlos herunterladen

Wie die Angreifer die Zwei-Faktor-Authentifizierung aushebeln

Der Infektionsweg beginnt unscheinbar: Ein gefälschtes Update für die Fernwartungssoftware ScreenConnect installiert den Trojaner auf dem Zielsystem. Einmal eingenistet, durchsucht das Pheno-Plugin die SQLite-Datenbank der Phone-Link-Anwendung nach synchronisierten Nachrichten. Das fatale Ergebnis: SMS-TANs und Push-Benachrichtigungen der Zwei-Faktor-Authentifizierung (MFA) landen direkt in den Händen der Angreifer – ohne dass das Mobilgerät selbst kompromittiert werden müsste.

Ein geplanter Task tarnt die Schadsoftware als legitimes Systemprogramm und sorgt für dauerhaften Zugriff. Die Botschaft der Sicherheitsforscher ist deutlich: Herkömmliche MFA-Verfahren bieten keinen ausreichenden Schutz mehr.

Parallel dazu entdeckte das Microsoft Defender Research Team eine globale Phishing-Welle. Mitte April 2025 wurden rund 35.000 Nutzer in 26 Ländern attackiert – 92 Prozent der Opfer in den USA. Die Masche: Täuschend echte „Verhaltenskodex"-E-Mails mit PDF-Anhängen lockten die Empfänger über CAPTCHA-geschützte Seiten auf eine Adversary-in-the-Middle (AiTM)-Webseite. Dort stahlen die Angreifer die Authentifizierungstoken. Besonders betroffen: das Gesundheitswesen und der Finanzsektor mit zusammen 37 Prozent aller Attacken.

Massenausfälle bei Servern und Webhosting-Plattformen

Noch dramatischer ist die Lage auf der Server-Ebene. Seit dem 4. Mai 2025 wird eine kritische Sicherheitslücke in cPanel und WebHost Manager (WHM) massiv ausgenutzt. Die Schwachstelle CVE-2026-41940 ermöglicht einen Authentifizierungs-Bypass. Rund 550.000 Server sind potenziell verwundbar, etwa 2.000 Instanzen gelten bereits als kompromittiert.

Die Angriffswelle begann Ende Februar 2025 und richtet sich gegen Regierungsstellen in Südostasien sowie Managed Service Provider (MSPs) in den USA, Kanada und Südafrika. Die Täter erbeuteten unter anderem über 4 Gigabyte Daten einer chinesischen Eisenbahngesellschaft. Die US-Behörde CISA hat eine dringende Warnung herausgegeben: Bundesbehörden müssen die Sicherheitspatches bis Mitte Mai einspielen.

Auch der Linux-Kernel – das Rückgrat vieler Cloud-Umgebungen – ist betroffen. Die als „CopyFail" (CVE-2026-31431) bekannte Schwachstelle erlaubt lokalen Nutzern, Root-Rechte zu erlangen. Sie betrifft Kernel-Versionen seit 2017 und wird bereits aktiv ausgenutzt. CISA setzte sie am 2. Mai auf die Liste der bekannten ausgenutzten Schwachstellen (KEV).

Datenlecks bei Sicherheitsfirmen und KI-getriebene Angriffe

Selbst die Sicherheitsbranche bleibt nicht verschont. Am 4. Mai 2025 meldete der Sicherheitsanbieter Trellix einen unbefugten Zugriff auf sein Quellcode-Repository. Die Untersuchungen mit externen Forensikern laufen – bisher gibt es keine Hinweise auf Manipulationen.

Noch brisanter: DigiCert meldete einen Vorfall Anfang April 2025. Ein Mitarbeiter des Supports führte eine manipulierte Bildschirmschoner-Datei (.scr) aus. Die Angreifer der Gruppe GoldenEyeDog erlangten daraufhin Extended Validation (EV)-Codesignaturzertifikate. Damit signierten sie den Schädling Zhong Stealer. DigiCert musste 60 Zertifikate widerrufen, 27 davon direkt den Angreifern zugeordnet.

Die größte Überraschung lieferte jedoch die Künstliche Intelligenz. KI-gestützte Analysen entdeckten Sicherheitslücken in PostgreSQL und MariaDB, die seit 20 Jahren unentdeckt schlummerten. Die Schwachstellen CVE-2026-2005 und CVE-2026-32710 ermöglichen entfernte Codeausführung und gelten als hochkritisch. Trotz verfügbarer Patches sind schätzungsweise 80 Prozent der PostgreSQL-Cloud-Umgebungen noch immer ungeschützt.

Die neue Bedrohungslandschaft: Zahlen, Fakten und Trends

Die Dimension der Bedrohung wird an den Zahlen des ersten Quartals 2025 deutlich: Microsoft registrierte rund 8,3 Milliarden E-Mail-basierte Phishing-Versuche. Besonders alarmierend: QR-Code-Phishing explodierte um 146 Prozent – von 7,6 Millionen auf 18,7 Millionen Vorfälle monatlich zwischen Januar und März.

Angesichts von Milliarden Phishing-Versuchen und komplexen Session-Hijacking-Methoden müssen Betriebe ihre Abwehrstrategien dringend modernisieren. Dieser Experten-Report zeigt Ihnen, wie Sie neue Bedrohungen abwenden und Ihr Unternehmen langfristig absichern. Kostenloses E-Book zu Cyber Security Awareness Trends anfordern

Die Sicherheitsforscher beobachten eine klare Verschiebung: Während Unternehmen von einfachen Passwörtern wegkommen, konzentrieren sich die Angreifer auf Session-Hijacking und Token-Diebstahl. Die Zerschlagung etablierter Phishing-as-a-Service (PhaaS)-Plattformen hat zu einer fragmentierten, unberechenbaren Bedrohungslandschaft geführt. Nachdem die Tycoon2FA-Infrastruktur im März gestört wurde, sank ihr Anteil an CAPTCHA-basierten Phishing-Attacken von 75 auf 41 Prozent – neue Frameworks wie das Saiga 2FA-Kit drängen nach.

Die Geschwindigkeit, mit der Schwachstellen heute ausgenutzt werden – teilweise durch große Sprachmodelle wie Anthropics Mythos oder OpenAIs GPT-5.4-Cyber – zwingt die Politik zum Umdenken. US-Behörden erwägen eine drastische Verkürzung der Patch-Fristen für Regierungsstellen: Statt der bisherigen 14 Tage sollen kritische Schwachstellen künftig innerhalb von drei Tagen geschlossen werden.

Konsequenzen für Unternehmen: Was jetzt zu tun ist

Die Kombination aus KI-gestützter Schwachstellenentdeckung und dem Missbrauch legitimer Synchronisationstools wie Microsoft Phone Link zeigt: Herkömmliche Perimeter- und Endpunkt-Sicherheit reicht nicht mehr aus. Experten empfehlen den Umstieg auf phishing-resistente MFA-Verfahren wie Hardware-Sicherheitsschlüssel und eine strengere Überwachung interner Anwendungsdatenbanken.

Der jüngste Vorfall bei Instructure – am 1. Mai 2025 bestätigt – verdeutlicht das potenzielle Ausmaß. Die Gruppe ShinyHunters erbeutete 3,65 Terabyte Daten von 275 Millionen Nutzern aus 9.000 Bildungseinrichtungen. Die Frist für die von CISA angeordneten Patches für cPanel und den Linux-„CopyFail"-Bug rückt näher. Für IT-Administratoren heißt es: Schnell handeln, Authentifizierungswege härten und die laufenden globalen Kampagnen im Blick behalten.

de | wissenschaft | 69282462 |