Betrugsmasche mit gefälschten Bluescreens

Betrüger sorgen für die bildschirmfüllende Einblendung von Bluescreen-Fehlermeldungen, um Besitzer von Windows-PCs zu täuschen und abzuzocken. Die neue Masche fiel zuerst in einem Forum von Bleeping Computer auf und wurde von Malwarebytes genauer analysiert.

Wie der kalifornische Anbieter von Antivirensoftware anmerkt, ist der als „Blue Screen of Death“ oder BSOD bekannte Fehlerbildschirm zwar fast täuschend echt, unterscheidet sich aber in einem wesentlichen Punkt vom gefürchteten Original, das in vielen Windows-Generationen auf einen kritischen Systemfehler hinwies: Der gefälschte Bluescreen zeigt eine lokale gebührenfreie Telefonnummer für technischen Support an.

Der falsche Bluescreen täuscht einen kritischen Systemfehler vor und zeigt die Telefonnummer eines zweifelhaften technischen Supports an (Bild: Malwarebytes).

Laut Malwarebytes kam die einen Bluescreen vortäuschende Malware im konkreten Fall mit einem Download-Manager namens iLivid auf den Rechner. Es soll sich um eine ausführbare Datei namens SenseIUpdater.exe mit einer digitalen Signatur von Fidelis IT Solutions Private Limited gehandelt haben. Nach ihrer Installation sammelte die Malware zunächst Informationen wie IP-Adresse, Land und Wohnort, um sie an einen Server zu übermitteln. Über den Task-Scheduler sorgte sie außerdem dafür, dass sie auch nach einem Neustart wieder läuft und erneut einen gefälschten Bluescreen anzeigen kann.

Der falsche Bluescreen wird ganz einfach im Webbrowser erzeugt, aber bildschirmfüllend und ohne Fensterrand angezeigt, um dem Original nahezukommen. Gleichzeitig deaktiviert die Software Maus und Tastatur, sodass der Anwender das Fenster nicht schließen kann. Auch ein Neustart bringt keine dauerhafte Erlösung, da sich das Szenario wiederholt.

Malwarebytes machte die Probe aufs Exempel und kontaktierte die Support-Scammer unter der angegebenen Telefonnummer. Das Weitere lief ganz ähnlich wie schon bei zahllosen ähnlichen Betrugsfällen ab. Der angebliche Support-Mitarbeiter am anderen Ende der Leitung sprach mit starkem indischem Akzent und veranlasste den Download der vielen Nutzern vertrauten Software von Teamviewer, um Fernzugriff auf den Rechner zu bekommen. Er installierte daraufhin eine als „Microsoft Internet Safety and Security Center“ ausgegebene Batch-Datei, die für weitere alarmierende Fehlermeldungen sorgte.

Der Betrüger behauptete fälschlich, gefährliche Viren auf dem PC gefunden zu haben, und verlangte 150 Dollar für ihre Entfernung. Einen dreimonatigen Schutz bot er für 200 Dollar an. Den einjährigen Schutz durch eine Sicherheitssoftware namens „mcfee Total security“, die es mindestens in dieser Schreibweise gar nicht gibt, setzte er sogar mit 300 Dollar an. Als Firma hinter diesen dubiosen Angeboten machte Malwarebytes „Thy Tech Support“ aus. Sie gibt außerdem einen Standort in den USA vor, operiert aber tatsächlich von Indien aus.

Die Gefahr bei solchen Betrugsversuchen ist darüber hinaus, dass die Täter zusätzliche Malware auf den Rechner bringen und sich noch viel höhere als die genannten Geldbeträge holen. So geschah es erst kürzlich, als Cyberkriminelle sich als vermeintliche Microsoft-Mitarbeiter ausgaben und Windows-XP-Nutzer abzockten. Sie boten ihre Hilfe zunächst für nur 10 Euro an, veranlassten aber in einem geschilderten Fall vom Rechner des getäuschten Nutzers aus eine Überweisung via Western Union über 850 Euro.