Achtung Support-Betrüger

Das kennt man: Ein Anrufer aus Indien versucht Ihnen einzureden, dass ihr Rechner kaputt wäre und sie unbedingt eine Software installieren sollen. Diese Masche ist zwar nicht neu, aber diese Form des Social Engineering ist brandaktuell.

Eine Form des Tech Support Scams, die Microsoft in seiner Analyse nicht explizit herausstellt, ist der Angriff mit Screenlocker Ransomware. Computernutzer erhalten hier keinen Anruf und keine E-Mail, sondern ihr Zugriff auf den Rechner wird durch Erpressertrojaner gesperrt. Die Opfer sollen nun eine angebliche Microsoft Telefonnummer anrufen, um ihre vermeintlich abgelaufene Lizenz für ihren PC zu erneuern. Die Experten von G Data haben diese Art des Betrugs mal genauer unter die Lupe genommen:

Die Masche mit der Screenlocker Ransomware

Die Schaddatei kommt immer als angeblicher Installer für ein Produkt, zum Beispiel als VMC Media Player oder ähnlich. Das beworbene Programm ist aber in diesem Installer gar nicht enthalten! Die untersuchte Malware-Familie nutzt Smart Install Maker, um den Installer zu generieren. Die nachfolgende Analyse von G Data basiert auf folgender Datei, die sich als „Free Download Manager“ ausgegeben hat: SHA256: c72fb6e95375900999d14cd10541021a4db0a9065e387ed6b45266d80bb18d55

Dieser Installer legt nach dem Ausführen eine .bat und eine .exe-Datei ab (je nach Variante haben diese verschiedene Namen). Die .exe-Datei wird als Autostart eingetragen, sowohl unter Winlogon Shell als auch dem üblichen Autostarteintrag: SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Die .bat-Datei

Die .bat enthält Batch-Code, der den Rechner nach einiger Zeitverzögerung neu startet.

Die .exe-Datei

Dies ist der eigentliche Schadcode, der Screenlocker. Die .NET Assembly Datei heisst in unserem Fallbeispiel fatalerror.exe und benötigte zur Ausführung .NET 2.0.

G Data schreibt, man habe andere Samples gesehen, die .NET 4.6 zur Ausführung brauchen. Stossen diese Dateien auf Windows XP (hier kann die Version nicht installiert werden) oder auf ein System mit niedrigerer .NET-Version, resultiert der ausgeführte Neustart in einem leeren Bildschirm, der nur noch das eigene Windows-Hintergrundbild und den Maus-Cursor zeigt.

Ein Einloggen oder Starten des Windows Explorers ist aber in keinem der beiden Fälle möglich.

Betroffene bekommen einen Lockscreen im Design von Windows 10 angezeigt. Wenn man kein Windows 10 benutzt, könnte an dieser Stelle schon auffallen, dass etwas nicht stimmt, wie G-Data schreibt.

Fazit

Die Tech-Support Scams sind kein neues Phänomen. Man wird zu keinem Zeitpunkt von Microsoft oder von Partnern von Microsoft einen ehrlich gemeinten Anruf erhalten, bei dem man für Computer-Reparatur zur Kasse gebeten wird.

Das vermehrte Aufkommen der Screenlocker Ransomware war in diesem Zusammenhang eine Weiterentwicklung und kann Benutzer noch weitaus mehr verunsichern. Zumal ein Betrüger hier nicht auf vermeintliche Probleme auf dem Rechner hinweist, sondern aktiv der Zugriff auf das Gerät gesperrt wird. Ein Ignorieren der falschen Warnungen ist daher leider ausgeschlossen.

Tipps und Tricks

• Behalten Sie im Hinterkopf, dass die Bezeichnung „Microsoft Partner“ kein Indiz dafür ist, dass eine Person besonders vertrauenswürdig ist. Der Aufwand, sich als offizieller Microsoft Partner zu registrieren, ist verhältnismässig gering.
• Gewähren Sie einem Support keinen Fernzugriff auf Ihr Gerät, wenn Sie nicht absolut sicher sind, dass die Person einen legitimen Service anbietet und Sie sie dazu beauftragen.
• Widerstehen Sie der Neugier und lassen sie sich nicht von angeblichen Support-Mitarbeitern auf Webseiten mit wichtigen Informationen locken. Diese Webseiten könnten speziell präpariert sein, um die Besucher mit Malware zu infizieren oder Daten zu phishen.
• Lehnen Sie Hilfeleistungen per Telefon, Webseite ab, wenn Ihnen dafür unerwartete Gebühren in Rechnung gestellt werden sollen. Geben Sie keine Bezahldaten (z.B. Kreditkartendaten) oder sonstige persönliche Daten Preis.
• Selbstverständlich: Geben Sie niemals Passwörter an andere Personen heraus!

Quelle: G Data