Im Rahmen des 13. US National Cyber Security Awareness Month (NCSAM) hat Microsoft im Oktober eine neue Studie vorgestellt, in der sie sich erneut aktiv mit dem Thema Tech Support Scam beschäftigten. Die neuesten Zahlen zeigen, dass die bekanntesten Formen des Betrugs weiterhin verbreitet sind: Falsche Support-Angebote per Telefonanruf, per E-Mail, per Pop-Up oder auch Umleitung beim Surfen im Web. G DATA deckt eine weitere Art von Betrug mit angeblich technischem Support auf: Erpressertrojaner im Microsoft-Design!
Das haben Sie sicher schon gehört: Ein Anrufer aus Indien versucht Ihnen einzureden, dass ihr Rechner kaputt wäre und sie unbedingt eine Software installieren sollen. Diese Masche ist zwar nicht neu. Aber sie lebt und Nein, sie ist ganz und gar kein alter Hut! Diese Form des Social Engineering ist brandaktuell.
Es ist laut den neuesten Untersuchungen tatsächlich gar nicht so unwahrscheinlich, dass Sie auch aktuell mit Tech Support Betrug in Berührung kommen: Laut Microsofts Studie traf es in den untersuchten Länder seit 2015 im Schnitt 2 von 3 Personen (Deutschland: 51%). Sie wurden durch unerwünschte Anrufe oder E-Mails beziehungsweise Pop-Ups oder Umleitungen im Browser zu den falschen Angeboten gelockt. Im weltweiten Schnitt hat jeder zehnte Betroffene durch die Betrügerei sogar Geld verloren (Deutschland: 3%). Was die neu veröffentlichte Analyse ebenfalls verrät: die Betroffenen gehören nicht zwingend in die Generation der Silver-Surfer, so wie unser G DATA Security Evangelist Eddy Willems ;-) Nein, 50% der Opfer von dubiosen Telefonanrufen waren zwischen 18 und 34 Jahren alt, „nur“ 17% waren älter als 55 Jahre.
Eine Form des Tech Support Scams, die Microsoft in seiner Analyse nicht explizit herausstellt, ist der Angriff mit Screenlocker Ransomware. Computernutzer erhalten hier keinen Anruf und keine E-Mail, sondern ihr Zugriff auf den Rechner wird durch Erpressertrojaner gesperrt. Die Opfer sollen nun eine angebliche Microsoft Telefonnummer anrufen, um ihre vermeintlich abgelaufene Lizenz für ihren PC zu erneuern. Die G DATA Experten haben diese Art des Betrugs mal genauer unter die Lupe genommen:
Die Schaddatei kommt immer als angeblicher Installer für ein Produkt, zum Beispiel als VMC Media Player oder ähnlich. Das beworbene Programm ist aber in diesem Installer gar nicht enthalten! Die untersuchte Malware-Familie nutzt Smart Install Maker, um den Installer zu generieren. Unsere nachfolgende Analyse basiert auf folgender Datei, die sich als „Free Download Manager“ ausgegeben hat: SHA256: c72fb6e95375900999d14cd10541021a4db0a9065e387ed6b45266d80bb18d55
Dieser Installer legt nach dem Ausführen eine .bat und eine .exe-Datei ab (je nach Variante haben diese verschiedene Namen). Die .exe-Datei wird als Autostart eingetragen, sowohl unter Winlogon Shell als auch dem üblichen Autostarteintrag: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Die .bat enthält Batch-Code, der den Rechner nach einiger Zeitverzögerung neu startet.
Dies ist der eigentliche Schadcode, der Screenlocker. Die .NET Assembly Datei heißt in unserem Fallbeispiel fatalerror.exe und benötigte zur Ausführung .NET 2.0.
Wir haben andere Samples gesehen, die .NET 4.6 zur Ausführung brauchen. Stoßen diese Dateien auf Windows XP (hier kann die Version nicht installiert werden) oder auf ein System mit niedrigerer .NET Version, resultiert der ausgeführte Neustart in einem leeren Bildschirm, der nur noch das eigene Windows-Hintergrundbild und den Maus-Cursor zeigt.
Ein Einloggen oder Starten des Windows Explorers ist aber in keinem der beiden Fälle möglich.
Betroffene bekommen einen Lockscreen im Design von Windows 10 angezeigt. Wenn man kein Windows 10 benutzt, könnte an dieser Stelle schon auffallen, dass etwas nicht stimmt.
Die .exe-Datei verhindert das Schließen des Fensters (Strg+F4), lässt andere Keyboard-Shortcuts aber zu. Das Öffnen des Taskmanagers wird jedoch ebenfalls unterbunden, indem die Datei nach Prozessen mit dem Fenstertitel „Windows Taskmanager“ sucht und diese beendet. Es gibt jedoch etwas, das die Schadsoftware erlaubt: Man darf mit dem Internet Explorer eine Remote-Desktop-Software herunterladen und danach installieren! Hört, hört… Die Auswahl ist allerdings beschränkt auf Teamviewer, Supremo und LogMeIn.
Wir haben damals unzählige Samples der Schwemme untersucht und in einer groß angelegten Aktion alle uns bekannten Lockscreen-Telefonnummern angerufen. Die allermeisten waren zum Zeitpunkt des Anrufes schon nicht mehr in Betrieb. Lediglich bei einer Nummer kam eine Verbindung zustande und es hörte sich eher so an, als würde gerade jemand diesen Ruf während des Autofahrens annehmen. Dementsprechend schnell wurde von der Gegenstelle auch aufgelegt. Von daher können wir leider nicht bewerten, wann und zu welchen Kosten die Betrüger das Passwort herausrücken würden und was für einen Schabernack sie noch mithilfe der Remote-Desktop-Software anstellen würden. Vielleicht wäre ein Gespräch ähnlich zu dem damaligen verlaufen, als Eddy Willems von den Betrügern sogar ein Jobangebot bekam.
In diesem beschriebenen Fall gibt es drei Möglichkeiten:
Unsere Analysten fanden im überschaubaren Code keine Hinweise auf andere Aktionen, außer dem Screen Lock. Es wird nichts nachinstalliert, keine Daten werden gestohlen oder ähnliches.
Die Tech-Support Scams sind kein neues Phänomen und das weiß auch Microsoft. Schon damals haben die Experten aus Redmond aktiv davor gewarnt: „Sie werden zu keinem Zeitpunkt von Microsoft oder von Partnern von Microsoft einen ehrlich gemeinten Anruf erhalten, bei dem Sie für Computer-Reparatur zur Kasse gebeten werden.“
Das vermehrte Aufkommen der Screenlocker Ransomware war in diesem Zusammenhang eine Weiterentwicklung und kann Benutzer aus unserer Sicht noch weitaus mehr verunsichern. Zumal ein Betrüger hier nicht auf vermeintliche Probleme auf dem Rechner hinweist, sondern aktiv der Zugriff auf das Gerät gesperrt wird. Ein Ignorieren der falschen Warnungen ist daher leider ausgeschlossen.