O campanie de malware folosește metoda neobișnuită de a bloca utilizatorii în modul kiosk al browser-ului pentru a-i determina să introducă parolele lor de Google, care sunt apoi furate de malware-ul care fura informații.
Mai exact, malware-ul „blochează” browser-ul utilizatorului pe pagina de autentificare Google fără o modalitate evidentă de a închide fereastra, deoarece malware-ul blochează, de asemenea, tastele de tastatură „ESC” și „F11”. Scopul este de a frustra suficient utilizatorul încât să introducă și să-și salveze datele de autentificare Google în browser pentru a „debloca” computerul.
Odată ce datele de autentificare sunt salvate, malware-ul de furt de informații StealC le fură din magazia de acreditări și le trimite înapoi la atacator.
Potrivit cercetătorilor OALABS care au descoperit această metodă de atac neobișnuită, aceasta a fost folosită în sălbăticie cel puțin din 22 august 2024, în principal de Amadey, un încărcător de malware, furt de informații și unealtă de recunoaștere a sistemului, lansat de hackeri în 2018.
Când este lansat, Amadey va implementa un script AutoIt care acționează ca un eliminător de acreditări, care scanează mașina infectată pentru browsere disponibile și lansează unul în modul kiosk către un URL specificat.
Scriptul stabilește, de asemenea, un parametru de ignorare pentru tastele F11 și Escape de pe browserul victimei, împiedicând o ieșire ușoară din modul kiosk.
Modulul kiosk este o configurare specială folosită în browsere web sau aplicații pentru a rula în modul ecran complet fără elementele standard ale interfeței utilizatorului, cum ar fi barele de instrumente, barele de adrese sau butoanele de navigare. Este proiectat pentru a limita interacțiunea utilizatorului la funcții specifice, făcându-l ideal pentru kioscuri publice, terminale de demonstrație, etc.
În acest atac Amadey, totuși, modulul kiosk este abuzat pentru a restricționa acțiunile utilizatorului și pentru a le limita la pagina de autentificare, cu singura opțiune aparentă de a introduce datele contului lor.
Pentru acest atac, modulul kiosk va fi deschis pe https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, care corespunde URL-ului de schimbare a parolei pentru conturile Google.
Deoarece Google solicită reintroducerea parolei înainte ca aceasta să poată fi schimbată, oferă o oportunitate utilizatorului de a reautentifica și potențial de a-și salva parola în browser când este solicitat.
Orice date de autentificare pe care victima le introduce pe pagină și apoi le salvează în browser când este solicitat sunt furate de StealC, un furt ușor și versatil de informații lansat la începutul anului 2023.
Utilizatorii care se găsesc în situația nefericită de a fi blocați în modul kiosk, cu Esc și F11 care nu fac nimic, ar trebui să-și păstreze frustrarea sub control și să evite introducerea unor informații sensibile în formulare.
În loc de asta, încercați alte combinații de taste rapide precum ‘Alt + F4’, ‘Ctrl + Shift + Esc’, ‘Ctrl + Alt +Delete’, și ‘Alt +Tab.’
Acestea ar putea ajuta să aducă desktop-ul în prim plan, să navigheze prin aplicațiile deschise și să lanseze Managerul de activități pentru a termina browser-ul (End Task).
Apăsând ‘Win Key + R’ ar trebui să deschidă promptul de comandă Windows. Tastați ‘cmd’ și apoi opriți Chrome cu ‘taskkill /IM chrome.exe /F.’
Dacă totul eșuează, puteți efectua întotdeauna o resetare dură ținând apăsat butonul Power până când computerul se închide. Acest lucru poate duce la pierderea lucrării nesalvate, dar această situație ar trebui totuși să fie mai bună decât a avea datele de autentificare furate.
Când reporniți, apăsați F8, selectați Modul sigur, și odată ce sunteți înapoi pe sistemul de operare, rulați o scanare antivirus completă pentru a localiza și elimina malware-ul. Lansările spontane de browser în modul kiosk nu sunt normale și nu ar trebui să fie ignorate.
Anunțurile false ale editorului AI de pe Facebook imping malware-ul care fură parole
Reclamele Google imping site-ul fals Google Authenticator care instalează malware
Manualul fals de reparații CrowdStrike impinge malware-ul nou de furt de informații
Ransomware-ul Qilin fură acum date de autentificare din browserele Chrome
Noul vierme USB CMoon vizează rușii în atacuri de furt de date
Leave a Reply