Warnung: Neu aufgewärmte alte Phishing-Masche
;

9. Januar 2020

Seit kurz vor Weihnachten sind uns mehrere Vorfälle gemeldet worden, bei denen die Nutzenden durch eine (natürlich gefälschte) Windows-Update-Aufforderung dazu verleitet werden sollen, eine Schadsoftware auf ihrem Rechner zu installieren:

gefälschte Update-Aufforderung

gefälschte Windows – Update-Aufforderung (Symbolbild)

Die angezeigte Windows-version stimmt immer mit der Version des Rechners überein, aber eine „Windows-Security-Version“ gibt es nicht. Der Zeitzähler zählt bis auf Null Sekunden herunter und danach passiert – gar nichts.

Wenn so ein Bildschirm (oder eine ähnliche Anzeige) auftaucht, dann klicken Sie bitte nicht auf „aktualisieren“, sondern ziehen bitte das Netzwerkkabel und informieren dann Ihren DV-Koordinierenden oder den IT-Service-Desk.

Der Bildschirm sieht nach Ablauf der angezeigten Frist in etwa so aus:

Malware-Bildschirm

Screenshot nach Herunterzählen auf Null.

Es handelt sich hierbei um eine bösartige Werbeanzeige (malicious advertising). Werbeanzeige auf Webseiten werden nicht durch den Betreiber einer Webseite selbst ausgeliefert, sondern (mit Hilfe von externen Links) durch darauf spezialisierte Unternehmen /Agenturen (Affiliate Networks). Eine solche bösartige Werbung kann also prinzipiell auf jeder werbefinanzierten Webseite auftauchen – ohne Wissen des Webseitenbetreibers. Der Angreifer muss es „nur“ schaffen, eine entsprechend präparierte Werbeanzeige bei einem der Werbeunternehmen zu schalten ohne dass es das Werbeunternehmen merkt (mangelnde Qualitätskontrolle, mangelndes Monitoring beim Werbeunternehmen).

Meistens wird über diesen Weg „nur“ relativ harmlose Malware verteilt, die dann selbst wieder Werbung oder weiteres Phishing anzeigt (oft als Browser-Toolbar-Add-On), aber prinzipiell kann darüber jegliche Schadsoftware ganz nach Wunsch des Angreifers verteilt werden.

Das Gauß-IT-Zentrum hat die betroffenen Rechner schnellstmöglich vom Netz getrennt und komplett neu aufgesetzt bzw. den Nutzenden einen neuen Rechner zur Verfügung gestellt.

Weitere Informationen zu dieser Phshing Masche finden Sie bei Interesse unter: