Fake-Warnmeldung: Online-Betrüger nutzen zwei Jahre alten Chrome-Bug aus

"Ihr Computer ist infiziert. Bitte rufen Sie diese Nummer an." Über derartige Pop-ups von Betrügern stolpert man regelmäßig beim Surfen. Aufgrund eines neuen Ansatzes können Chrome-Nutzer aber durchaus darauf reinfallen.

In Pocket speichern vorlesen Druckansicht 58 Kommentare lesen
Fake-Warnmeldung: Online-Betrüger nutzen zwei Jahre alten Chrome-Bug aus

(Bild: Malwarebytes)

Lesezeit: 2 Min.

Der Sicherheitsforscher mit dem Pseudonym slipstream/RoL ist auf eine ausgebaute Fake-Warnbildschirm-Masche gestoßen, mit der Online-Betrüger auf Opferfang gehen. Sicherheitsforscher von Malwarebytes haben sich das näher angesehen.

Dabei startet ein Übergriff, wie man es bereits kennt: Beim Surfen taucht eine Fake-Warnmeldung auf, die behauptet, dass sich der eigene Computer einen Trojaner eingefangen hat. Nun soll der Nutzer die angegebene Hilfe-Nummer anrufen. Am anderen Ende der Leitung versucht in der Regel ein Betrüger dem Opfer eine Fernwartungsanwendung aufzuschwatzen, um den Computern kapern zu können. Doch diese Masche ist alt und solche Meldungen ignorieren viele.

Nun sollen aber Betrüger einen vor zwei Jahren entdeckten und bis dato noch nicht reparierten Chrome-Bug ausnutzen, um Computer quasi lahmzulegen. Wenn der Rechner nach dem Auftauchen einer Fake-Warnmeldung plötzlich nicht mehr reagiert, steigert das die Glaubwürdigkeit.

Der Bug findet sich in der HTML5-Methode history.pushState(), über die Entwickler URLs in den Webseiten-Verlauf packen können. Aufgrund des Fehlers ist es möglich, Millionen von Objekten dort rein zudrücken und die CPU- und Arbeitsspeicher-Auslastung eines Computers ans Maximum zu treiben: Folglich reagiert der Computer nur noch zäh bis gar nicht mehr, berichtet Malwarebytes.

Google hat den Bug bereits damals als Ansatzpunkt für eine DoS-Attacke erkannt. Die Schwachstelle aber hat das Unternehmen nicht geschlossen, da es sich zu diesem Zeitpunkt um dringendere Probleme gekümmert hat. Der Status quo ist derzeit unbekannt. (des)