Tech-Support-Scammer nutzen vermehrt eine Lücke in HTML5 aus

Unter Berufung auf den Sicherheitsforscher @TheWack0lian hat Malwarebytes jetzt auf eine neue Masche sogenannter Tech-Support-Scammer hingewiesen. Diese riefen in der Vergangenheit oft wahllos Nutzer an, gaben sich als Support-Mitarbeiter großer IT-Firmen aus – besonders häufig von Dell und Microsoft – und versuchten die Angerufenen unter diversen Vorwänden dazu zu bringen, ihnen – oft mittels Fernwartungssoftware – Zugriff auf den Computer zu gewähren. Sie täuschten dort dann Wartungsarbeiten vor, stahlen aber tatsächlich entweder persönliche Informationen, griffen beim Zahlungsvorgang Bankdaten ab oder erhöhten durch Tricks den Zahlungsbetrag erheblich.

Betrugsversuche falscher Support-Mitarbeiter häufen sich einer kürzlich von Microsoft veröffentlichten Untersuchung zufolgen. Weltweit sollen zwei Drittel der Anwender bereits Erfahrungen mit solchen Betrugsversuchen gemacht haben, so Microsoft. In Deutschland hat sogar rund die Hälfte der Umfrageteilnehmer bereits solche Betrugsversuche erlebt. Die traumhaft hohe Erfolgsquote im Vergleich zu anderen Online-Betrügereien dürfte die Erklärung für die starke Zunahme sein: Den Zahlen von Microsoft zufolge sind weltweit etwa 20 Prozent der anvisierten Opfer schon auf den “Tech Support Scam” hereingefallen und haben eine zum Betrug verwendete Software heruntergeladen.

An der Lage haben selbst einzelne, wenn auch beachtliche Fahndungserfolge gegen die bislang überwiegend aus Indien operierenden Betrüger offenbar wenig geändert. Im Gegenteil: Die Betrüger haben sich im Laufe der Zeit professionalisiert und Abläufe automatisiert beziehungsweise massentauglicher gemacht. Statt durch einen aufwändigen Anruf wird der Erstkontakt mit dem Opfer inzwischen immer häufiger durch Malvertising gesucht.

Indem die Kriminellen in vermeintlichen Anzeigen versteckte Malware über eines der zahlreichen, nur oberflächlich kontrollierenden Anzeigennetzwerke verteilten, konnten sie bei Nutzern Meldungen anzeigen lassen, dass der Rechner infiziert sei. Sie platzierten alternativ in Suchmaschinen Anzeigen, die auf gut gemachte Imitationen zu Webseiten von Microsoft und bekannten Antivirus-Anbietern verwiesen, auf denen aber prominent eine gefälschte Support-Hotline angegeben war.

Dabei wurde laut Malwarebytes bislang vor allem JavaScript Code benutzt, um das Pop-up mit der Warnung in einer Endlosschleife anzuzeigen. Die Warnungen liesen sich oft nur durch Aufrufen des Task Managers unter Windows oder eines vergleichbaren Tools auf anderen Plattformen und das Beenden des dafür zuständigen Prozesses abstellen.

Eine grundsätzlich nicht neue aber beim Tech-Support-Scam bislang nicht verwendete Methode scheint sich jetzt immer stärker durchzusetzen. Dabei wird ein schon im Juli 2014 erkannter Fehler im Zusammenhang mit HTML5 ausgenutzt. Mit der neuen Methode wird die als Hang bug in history.pushState() bekannte HTML5-Lücke ausgenutzt, um den Browser zum Absturz zu bringen. Vorteilhaft aus Sicht der Betrüger ist es, dass die gefälschte Warnmeldung wie bislang im Browser angezeigt wird, sich dieser aber nicht mehr mit dem Task-Manager schließen lässt.

Außerdem führt der Bug nicht zum kompletten Absturz des Browsers, sondern „lediglich“ dazu, dass er sich aufhängt. Dadurch ist es möglich, dass die angezeigte, vermeintliche Warnmeldung mit der prominent platzierten, (falschen) Support-Rufnummer von Microsoft sichtbar bleibt. Da der Rechner in den meisten Fällen auf keinerlei Eingaben mehr reagiert, scheint für viele Nutzer der Anruf bei der Nummer der einzige Ausweg. Laut Malwarebytes hilft in vielen Fällen allerdings das Ausschalten des Rechners über den Power-Knopf.

[Mit Material von Peter Marwan, silicon.de]