Търсене
Close this search box.

Кампания за зловреден софтуер използва необичайния метод на заключване на потребителите в режим на киоск на браузъра, за да ги накара да въведат данните си за достъп до Google, които след това се открадват от зловреден софтуер, крадящ информация.

По-конкретно, зловредният софтуер „заключва“ браузъра на потребителя на страницата за вход в Google без очевиден начин за затваряне на прозореца, тъй като зловредният софтуер блокира и клавишите „ESC“ и „F11“ на клавиатурата. Целта е потребителят да бъде разочарован дотолкова, че да въведе и запази своите идентификационни данни за Google в браузъра, за да „отключи“ компютъра.

След като пълномощията са запазени, зловредният софтуер StealC, който краде информация, ги открадва от хранилището за пълномощия и ги изпраща обратно на нападателя.

Кражба в режим на киоск

Според изследователите от OALABS, които са разкрили този своеобразен метод за атака, той се използва в дивата природа поне от 22 август 2024 г. насам, главно от Amadey – зловреден софтуер за зареждане, кражба на информация и инструмент за разузнаване на системата, използван за първи път от хакери през 2018 г.

Когато бъде стартиран, Amadey ще разгърне скрипт AutoIt, който действа като промива  пълномощията, като сканира заразената машина за налични браузъри и стартира един от тях в режим на киоск към определен URL адрес.

Скриптът също така задава параметър за игнориране на клавишите F11 и Escape в браузъра на жертвата, като предотвратява лесното излизане от киоск режима.

Режимът „киоск“ е специална конфигурация, използвана в уеб браузъри или приложения за работа в режим на цял екран без стандартните елементи на потребителския интерфейс като ленти с инструменти, адресни ленти или бутони за навигация. Той е предназначен да ограничи взаимодействието на потребителя до конкретни функции, което го прави идеален за обществени киоски, демонстрационни терминали и др.

В тази атака на Amadey обаче режимът на киоск се използва неправомерно, за да се ограничат действията на потребителите и те да бъдат ограничени до страницата за вход, като единственият видим избор е да въведат идентификационните данни за профила си.

За тази атака режимът на киоск ще бъде отворен на адрес https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, който съответства на URL адреса за смяна на паролата за акаунти в Google.

Тъй като Google изисква повторно въвеждане на паролата, преди тя да бъде променена, това дава възможност на потребителя да се легитимира отново и евентуално да запази паролата си в браузъра, когато бъде подканен.

Всички идентификационни данни, които жертвата въвежда на страницата и след това записва в браузъра при подкана, се открадват от StealC – лек и универсален инструмент за кражба на информация, пуснат в началото на 2023 г.

Излизане от режим на киоск

Потребителите, които се намират в злощастната ситуация да бъдат заключени в режим на киоск, като Esc и F11 не правят нищо, трябва да контролират разочарованието си и да избягват въвеждането на чувствителна информация във формулярите.

Вместо това опитайте други комбинации от клавиши за бърз достъп като „Alt + F4“, „Ctrl + Shift + Esc“, „Ctrl + Alt +Delete“ и „Alt +Tab“.

Те могат да помогнат за извеждане на работния плот на преден план, за преминаване през отворените приложения и за стартиране на мениджъра на задачите за прекратяване на браузъра (End Task).

Натискането на „Win Key + R“ трябва да отвори командния ред на Windows. Въведете ‘cmd’ и след това унищожете Chrome с ‘taskkill /IM chrome.exe /F.’

Ако всичко останало се провали, винаги можете да извършите твърдо нулиране, като задържите бутона за захранване, докато компютърът се изключи. Това може да доведе до загуба на неспазена работа, но този сценарий все пак би трябвало да е по-добър от кражбата на идентификационните данни на акаунта.

При рестартиране натиснете F8, изберете Safe Mode (Безопасен режим) и след като се върнете в операционната система, стартирайте пълно антивирусно сканиране, за да откриете и премахнете зловредния софтуер. Спонтанното стартиране на браузъра в киоск режим не е нормално и не трябва да се пренебрегва.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!