Gefälschte Blue Screens of Death sollen Windows-Nutzer dazu bringen, bei einem dubiosen technischen Support Hilfe zu holen. Von dort werden ihre Rechner nur noch weiter infiziert.
Alte Masche mit neuer Malware: Die Abzocke ist längst bekannt. Seit geraumer Zeit rufen Unbekannte wahllos Benutzer an, geben sich als Mitglieder des technischen Supports von Microsoft aus und behaupten, ein Rechner sei mit gefährlicher Malware infiziert. Wer deren dubiose Hilfe in Anspruch nimmt, bekommt unter Umständen tatsächliche Malware der übelsten Art auf den Rechner gespielt. Keylogger greifen dann beispielsweise Passwörter und Bankdaten ab und senden sie an die Cyberkriminellen. Gegen hohe Gebühren soll dann der Rechner wieder gesäubert werden.
Offenbar ist diese Masche nicht mehr so erfolgreich, denn die Cyberkriminellen haben eine neue Idee entwickelt. Sie infizieren den Rechner zunächst mit einer Malware, die einen gefälschten Blue Screen of Death aufruft. Dort wird auch gleich eine Telefonnummer angegeben, unter der angeblich Hilfe angeboten wird.
Scareware erzeugt Blue Screens of Death
Die Experten bei Malwarebytes haben die Masche genau analysiert. Die sogenannten Blue Screens of Death (BSOD) sind unter Windows gefürchtete Fehlermeldungen, die nicht nur einen sofortigen Stopp des Betriebssystems mit sich bringen, sondern auch auf ein tiefgreifendes Problem im System oder sogar auf Hardwarefehler deuten. Bleibt ein offizieller BSOD lange genug offen, erhält der Nutzer einen Fehlercode und den Hinweis, sich an seinen Systemadministrator zu wenden.
Nicht so bei den gefälschten Exemplaren, die Malwarebytes entdeckt hat. Dort wird zusätzlich eine Telefonnummer angegeben, über die angeblich der technische Support von Microsoft erreicht werden kann. Tatsächlich aber führt sie zu einem Mitglied der Cyberkriminellen, das sofortige Maßnahmen einleiten will. Der Nutzer wird dazu gebracht, Teamviewer zu installieren und dem vermeintlichen Support-Helfer die Kontrolle über sein System zu geben. Dieser installiert dann weitere Malware oder Trojaner.
Die gefälschten BSODs werden wiederholt über eine Malware aufgerufen und überdecken den gesamten Bildschirm. Gleichzeitig werden Maus und Tastatur deaktiviert. Nur ein Neustart kann den Spuk vorübergehend beenden.
Abzocker erschrecken Nutzer
Der Installer des von Malwarebytes analysierten Exemplars tarnt sich unter dem harmlos klingenden Namen iLivid, einem vermeintlichen Downloadmanager. Er trägt die digitale Signatur des Unternehmens Fidelis IT Solutions Private Limited. Die als Scareware bezeichnete Unterordnung von Malware sammelt zunächst Informationen über den Rechner und dessen Benutzer, etwa die Windows-Version oder den Standort des Benutzers. Diese werden lokal gespeichert und gleichzeitig an einen Command-and-Control-Server übermittelt. Über einen Eintrag im Task Scheduler wird die Malware auch nach einem Neustart regelmäßig aufgerufen. Die Cyberkriminellen übermitteln dann nicht nur eine Rufnummer, die im BSOD angezeigt werden soll, sondern auch ob, wann und wie regelmäßig er gestartet werden soll.
Die Experten bei Malwarebytes haben sich auf den technischen Support eingelassen. Zunächst wurden sie aufgefordert Teamviewer zu installieren. Anschließend ließen die Abzocker eine vermeintliche Scansoftware auf dem Rechner laufen, die etliche gefährlich erscheinende Falschmeldungen produzierte - auf einem vollkommen sauberen Rechner. Schließlich wird eine Rechnung für die vermeintlich geleisteten Dienste erstellt. Einmalig verlangen die Abzocker dann 150 US-Dollar für die Desinfizierung, für das Sauberhalten des Rechners soll der Nutzer nochmals 200 US-Dollar alle drei Monate zahlen. Außerdem legen sie dem Opfer nahe, überteuerte Lizenzen für Anti-Viren-Software zu bezahlen.
Keine Ahnung von Linux
Aus eigener Erfahrung können wir berichten, dass die Abzocker mit Linux nichts anfangen können. Nachdem wir sie bei einem Telefonat über Teamviewer auf einen Rechner mit Linux Mint zugreifen ließen, wanderte der Mauszeiger zunächst erratisch über den Bildschirm und suchte im Cinnamon-Startmenü offenbar vergeblich nach bekannten Einstellungen. Dann brach das Gespräch abrupt ab.
Wenige Wochen später wurden wir wieder angerufen. Nachdem wir darauf hinwiesen, dass Microsoft normalerweise hierzulande deutschsprachige Mitarbeiter beschäftigt und auch selbst selten von sich aus anruft, wurde der vermeintliche technische Berater am anderen Ende der Leitung ungehalten und bestand darauf, er rufe von der Microsoft-Zentrale an. Es folgte eine hektische Diskussion am anderen Ende der Leitung bis die Verbindung erneut abbrach. Noch ein Hinweis: Offenbar klappern die Cyberkriminellen Telefonlisten alphabetisch ab, denn in den nächsten Tagen erhielten sämtliche Familienmitglieder einen ähnlichen Anruf. Sie waren aber vorgewarnt.
Quelle: Golem
