Gefälschte Bluescreen-Fehlermeldungen: die neue Betrugsmasche

Der gefälschte Bluescreen zeigt, anders als die Original-Fehlermeldung, eine Telefonnummer an, unter der angeblich technischer Support zu erhalten ist. Die Betrüger, die unter der Nummer zu erreichen sind, täuschen im Anschluss einen infizierten Rechner vor. Für die vorgebliche Säuberung verlangen sie dann von den Opfern überzogene Beträge.

Die neue Betrugsmasche fiel zuerst in einem Forum von Bleeping Computer auf und wurde von Malwarebytes genauer analysiert. Betrüger sorgen dabei für die bildschirmfüllende Einblendung von Bluescreen-Fehlermeldungen, um Besitzer von Windows-PCs zu täuschen und abzuzocken.

Der falsche Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines zweifelhaften technischen Supports an (Bild: Malwarebytes).

Der falsche Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines zweifelhaften technischen Supports an (Bild: Malwarebytes).

Der als „Blue Screen of Death“ oder BSOD bekannte Fehlerbildschirm ist zwar fast täuschend echt, wie der kalifornische Anbieter von Antivirensoftware anmerkt, unterscheidet sich aber in einem wesentlichen Punkt vom gefürchteten Original, das in vielen Windows-Generationen auf einen kritischen Systemfehler hinwies: Der gefälschte Bluescreen zeigt eine lokale gebührenfreie Telefonnummer für technischen Support an. Laut Malwarebytes kam die einen Bluescreen vortäuschende Malware im konkreten Fall mit einem Download-Manager namens iLivid auf den Rechner.

Es soll sich um eine ausführbare Datei namens SenseIUpdater.exe mit einer digitalen Signatur von Fidelis IT Solutions Private Limited gehandelt haben. Nach ihrer Installation sammelte die Malware zunächst Informationen wie IP-Adresse, Land und Wohnort, um sie an einen Server zu übermitteln. Über den Task-Scheduler sorgte sie außerdem dafür, dass sie auch nach einem Neustart wieder läuft und erneut einen gefälschten Bluescreen anzeigen kann. Der falsche Bluescreen wird ganz einfach im Webbrowser erzeugt, aber bildschirmfüllend und ohne Fensterrand angezeigt, um dem Original nahezukommen.

Gleichzeitig deaktiviert die Software Maus und Tastatur, sodass der Anwender das Fenster nicht schließen kann. Auch ein Neustart bringt keine dauerhafte Erlösung, da sich das Szenario wiederholt. Malwarebytes machte die Probe aufs Exempel und kontaktierte die Support-Scammer unter der angegebenen Telefonnummer. Das Weitere lief ganz ähnlich wie schon bei zahllosen ähnlichen Betrugsfällen ab. Der angebliche Support-Mitarbeiter am anderen Ende der Leitung sprach mit starkem indischem Akzent und veranlasste den Download der vielen Nutzern vertrauten Software von Teamviewer, um Fernzugriff auf den Rechner zu bekommen. Er installierte daraufhin eine als „Microsoft Internet Safety and Security Center“ ausgegebene Batch-Datei, die für weitere alarmierende Fehlermeldungen sorgte.

Der Betrüger behauptete fälschlich, gefährliche Viren auf dem PC gefunden zu haben, und verlangte 150 Dollar für ihre Entfernung. Einen dreimonatigen Schutz bot er für 200 Dollar an. Den einjährigen Schutz durch eine Sicherheitssoftware namens „mcfee Total security“, die es mindestens in dieser Schreibweise gar nicht gibt, setzte er sogar mit 300 Dollar an. Als Firma hinter diesen dubiosen Angeboten machte Malwarebytes „Thy Tech Support“ aus. Sie gibt außerdem einen Standort in den USA vor, operiert aber tatsächlich von Indien aus.

Die Gefahr bei solchen Betrugsversuchen ist darüber hinaus, dass die Täter zusätzliche Malware auf den Rechner bringen und sich noch viel höhere als die genannten Geldbeträge holen. So geschah es erst kürzlich, als Cyberkriminelle sich als vermeintliche Microsoft-Mitarbeiter ausgaben und Windows-XP-Nutzer abzockten. Sie boten ihre Hilfe zunächst für nur 10 Euro an, veranlassten aber in einem geschilderten Fall vom Rechner des getäuschten Nutzers aus eine Überweisung via Western Union über 850 Euro.

[Mit Material von Bernd Kling, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Gefälschte Bluescreen-Fehlermeldungen: die neue Betrugsmasche

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *