Uncategorized

Warnung: Fake-Trojaner-Alarm (hier über Facebook-Anzeigen) | Borns IT

Misterjudie

August 31, 2024


[English]Kurze Information für Facebook-Nutzer. Es deutet sich an, dass eine Kampagne über Anzeigen auf Facebook läuft, die dem Nutzer einen Fake-Trojaner im Browser vorspiegelt und diesen auffordert einen “Microsoft Supportseite” anzurufen. Das ist natürlich auch Fake und es läuft auf Betrug hinaus. Mir ist die Tage eine solche Anzeige untergekommen, und ich stelle es kurz im Blog ein.

Der Browser meldet einen Trojaner

Ich konnte es kaum glauben – ich habe am 29. August 2024 auf Facebook einige Postings aus IT-Gruppen sowie PMs von Blog-Lesern überprüft, aber bewusst nichts angeklickt. Es waren lediglich eine Reihe Tabs (von Facebook und anderen Webseiten) im Browser offen. Plötzlich öffnete sich ein Fenster, welches mir einen Trojaner auf dem System suggerierte.

Fake-Trojaner-Alarm über Facebook-Anzeigen
Fake-Trojaner-Alarm über Facebook-Anzeigen; zum Vergrößern klicken

An dieser Stelle war klar, dass dies der Versuch war, den Nutzer zu übertölpeln und die Fake “Sicherheits-Hotline” von Microsoft anzurufen. Was da bei einem Anrufversuch passiert, ist mir unklar. Ich konnte es nicht im Detail analysieren. Möglicherweise versucht das Popup auch den Benutzer in seiner Verzweiflung zum Anklicken der Schaltfläche Erlauben oder Leugnen zu bewegen und es wird dann ein Script mit weiteren Aktionen ausgeführt.

Über den Taskmanager beendet

An dieser Stelle war ich erst einmal perplex, weil ich ad-hoc keine Schaltfläche zum Schließen sehen konnte – die Tabs waren ausgeblendet. Dass ich im Bereich des Popups oder der Schaltflächen nichts anklicke, war klar. Ich hab dann noch was durch Anklicken der Favoritenleiste versucht, war aber sofort im Vollbildmodus – die ESC-Taste zum Schließen dieses Modus reagierte meiner Erinnerung auch nicht mehr. Ich habe dann über Strg+Alt+Entf das Kontextmenü der Windows-Shell aufgerufen und den Befehl zum Wechsel in den Taskmanager gewählt.

Dies beendete den Vollbildmodus und der Desktop erschien mit dem Fenster des Taskmanager. Ich habe danach nochmals versucht, zum Browserfenster zu wechseln, war aber erneut in der Situation, keinen Tab zu finden, über den ich diese Fake-Anzeige schließen konnte. Ich habe dann noch schnell einen Screenshot zur Dokumentation angefertigt und dann im Taskmanager den Prozess für die Anzeige angeklickt und diesen beenden lassen. Damit war der gesamte Chromium-Clone abgeschossen.

Wo kommt die Anzeige her?

Im Rahmen der Erstellung dieses Blog-Beitrags habe ich noch versucht, etwas mehr herauszubekommen. So wollte ich ergründen, was hinter der Anzeige steckt und woher die Anzeige kam. Ein kurzer Versuch, die Ziel-URL im Verlauf des Browsers zu finden, scheiterte  – ich gehe davon aus, dass alles per Script erfolgte, welches dann obiges Popup anzeigte.

Bei einer schnellen Recherche habe ich keine Infos zur angegebenen Telefonnummer gefunden – die Vorwahl  03830 gehört zur Insel Hiddensee. Wie oben erwähnt, habe ich keine Schaltfläche angeklickt, um irgend etwas auszulösen. Ein Rechtsklick funktionierte im Popup-Bereich meiner Erinnerung nach nicht (sonst hätte ich mir den Quellcode angesehen).

In der URL aus obigen Screenshot lässt sich aber aus dem String ?utm_medium=paid&utm_scouce=fb&utm_id=120213364759770742 erkennen, dass dieses Popup über eine bezahlte Anzeige auf Facebook ausgespielt wurde. Und anhand der URL im obigen Screenshot erkenne ich aber, dass die URL auf Inhalte unter web.core.windows.net verweist, dort wurde die Fake-Warnung ausgelöst.

Scam von web.core.windows.net bekannt

Mit dieser URL windows.net stößt man auf den Blog-Beitrag Web.core.windows.net Phishing Web Pages – Tech Support Scam. Dort wird erklärt, dass web.core.windows.net eine Azure-Blob-Speicherressource und Hosting-Plattform ist, die von Cyberkriminellen und Online-Betrügern verwendet wird, um statische Seiten mit gefälschten Virenwarnungen und Computerfehlern auf dem Browserbildschirm des Benutzers anzuzeigen.

Im Blog-Beitrag wird bereits ein Popup wie oben gezeigt, präsentiert, und es heißt, dass das Popup sowie die URL viele Benutzer dazu verleitet, zu glauben, dass die gefälschten Warnungen von Windows stammen, da die Domäne mit Windows.net angehängt ist.

Was Betroffene tun sollten

Falls jemand eine solche Anzeige angezeigt bekommt (kann nicht nur auf Facebook passieren), und bei einer Suche auf diesen Blog-Beitrag stößt, hier einige Informationen, was man tun sollte.

  • Zuerst Ruhe bewahren und keinesfalls die angezeigte Rufnummer anrufen – dort droht höchstens das Risiko, dass man als Opfer dazu verleitet wird, Zahlungsinformationen zu übermitteln, so dass die Betrüger Zahlungen abziehen können.
  • Keinesfalls irgend etwas nach Aufforderung (der angezeigten Seite oder bei einem doch ausgeführten Anruf) herunterladen und ausführen, um den PC zu entsperren oder zu bereinigen. Das ist Humbug und dient dazu, Schadprogramme zu installieren.
  • Keinesfalls Schaltfläche anklicken, sondern wie oben erwähnt, mittels Strg+Alt+Entf den Taskmanager aufrufen und den Task für den Browser (Google Chrome, Microsoft Edge, Firefox, Safari) beenden. Dann ist der Spuk vorbei und man kann den Browser wieder erneut aufrufen.

Hat man aber nach Aufforderung etwas heruntergeladen und installiert und ggf. noch einem “Supporter” der angerufenen Rufnummer den Zugriff aufs System gewährt, hilft nur noch das System auf Schadsoftware zu überprüfen oder überprüfen zu lassen. Der Beitrag hier enthält noch einige Hinweise zum Entfernen von Malware. Das halte ich aber für nicht zielführend, selbst Hand anzulegen. Der Grund: Wer auf den Scam hereinfällt, ist i.d.R. nicht technisch fit genug, um eine Malware-Infektion zu erkennen und die erforderlichen Schritte (Neuinstallation des Systems etc.) selbst durchzuführen. Aber vielleicht hilft der Beitrag hier dabei, den Vorgang etwas einzuordnen und sauber zu sortieren bzw. aufzulösen.



law

Leave a Reply

Your email address will not be published. Required fields are marked *