Vermeintlicher Bluescreen verweist Windos-Nutzer an betrügerischen Support

CyberkriminalitätSicherheit
Der falsche Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines zweifelhaften technischen Supports an (Bild: Malwarebytes).

Dazu täuscht eine Malware im Browser einen Bluescreen vor. Sie deaktiviert Maus und Tatsatur und zeigt eine lokale, gebührenfreie Telefonnummer an, unter der angeblich Hilfe zu bekommen ist. Rufen Nutzer dort an, wird ihnen für die Säuberung ihres vermeintlich von Viren befallenen Rechners ein übertrieben hoher Betrag abgenommen.

Die Masche, Windows-Nutzer durch falschen Support abzuzocken, ist um eine Variante reicher: In einem Forum von Bleeping Computer wurde von einem mysteriösen Bluescreen berichtet, den daraufhin Malwarebytes genauer untersucht hat. Dem Anbieter von Antivirensoftware zufolge ist der Fehlerbildschirm zwar täuschend echt, unterscheidet sich aber darin vom Original, dass er eine lokale gebührenfreie Telefonnummer für technischen Support anbietet.

Der falsche Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines zweifelhaften technischen Supports an (Bild: Malwarebytes).
Der falsche Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines zweifelhaften technischen Supports an (Bild: Malwarebytes).

Die den Bluescreen vortäuschende Malware kam im untersuchten Falll mit dem Download-Manager iLivid auf den Rechner. Es handelt sich dabei um eine ausführbare Datei mit der Bezeichnung SenseIUpdater.exe, die mit einer digitalen Signatur von Fidelis IT Solutions Private Limited versehen ist. Nach der Installation sendet die Malware zunächst Informationen wie IP-Adresse, Land und Standort des Rechners an einen Server. Über den Task-Scheduler sorgte sie dan dafür, dass sie auch nach einem Neustart wieder läuft und den gefälschten Bluescreen erneut anzeigen kann.

Dieser wird im Browser erzeugt, aber als Vollbild angezeigt, um möglichst echt zu wirken. Die Software deaktiviert zudem Maus und Tastatur, sodass Anwender das Fenster nicht schließen können. Auch ein Neustart schafft keine Abhilfe.

Malwarebytes zufolge läuft die Betrugsmasche, wenn Betroffen die angegeben Nummer anrufen, genau so ab, wie von früheren Betrugsfällen mit vermeintlichenm technischen Support von Microsoft bekannt. Der angebliche Support-Mitarbeiter, der vermutlich in einem Call-Center in Indien sizt, veranlasste den Download Software von Teamviewer, um Fernzugriff auf den Rechner zu bekommen. Er installierte daraufhin eine als “Microsoft Internet Safety and Security Center” ausgegebene Batch-Datei, die weitere Fehlermeldungen produziert.

Dies nahm er zum Anlass, um auf angeblich gefundende, gefährliche Viren auf dem PC hinzuweisen, deren Beseitigung 150 Dollar koste. Einen dreimonatigen Schutz bot er für 200 Dollar an. Für den einjährigen Schutz durch eine Sicherheitssoftware namens “mcfee Total security”, mit der die Betrüger ein Produkt von Intel Security nachahmen, setzte er sogar 300 Dollar an. Als Firma hinter diesen dubiosen Angeboten machte Malwarebytes “Thy Tech Support” aus. Sie gibt einen Standort in den USA vor, operiert aber tatsächlich von Indien aus.

Die Gefahr bei solchen Betrugsversuchen ist darüber hinaus, dass die Täter zusätzliche Malware auf den Rechner bringen. Im deutschsprachigen Raum haben sich Kriminelle immer wieder als Microsoft-Mitarbeiter ausgegeben. Zuletzt boten sie gezielt Windows-XP-Nutzern, Hilfe beim Update ihres Betriebssystems an. Dafür verlangten sie lediglich 10 Euro, veranlassten aber, sobald sie auf dem Rechner des getäuschten Nutzers waren, deutlich höhere Zahlungen

[mit Material von Bernd Kling, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen