Кампания за зловреден софтуер използва необичайния метод на заключване на потребителите в режим на киоск на браузъра, за да ги накара да въведат данните си за достъп до Google, които след това се открадват от зловреден софтуер, крадящ информация.
По-конкретно, зловредният софтуер „заключва“ браузъра на потребителя на страницата за вход в Google без очевиден начин за затваряне на прозореца, тъй като зловредният софтуер блокира и клавишите „ESC“ и „F11“ на клавиатурата. Целта е потребителят да бъде разочарован дотолкова, че да въведе и запази своите идентификационни данни за Google в браузъра, за да „отключи“ компютъра.
След като пълномощията са запазени, зловредният софтуер StealC, който краде информация, ги открадва от хранилището за пълномощия и ги изпраща обратно на нападателя.
Според изследователите от OALABS, които са разкрили този своеобразен метод за атака, той се използва в дивата природа поне от 22 август 2024 г. насам, главно от Amadey – зловреден софтуер за зареждане, кражба на информация и инструмент за разузнаване на системата, използван за първи път от хакери през 2018 г.
Когато бъде стартиран, Amadey ще разгърне скрипт AutoIt, който действа като промива пълномощията, като сканира заразената машина за налични браузъри и стартира един от тях в режим на киоск към определен URL адрес.
Скриптът също така задава параметър за игнориране на клавишите F11 и Escape в браузъра на жертвата, като предотвратява лесното излизане от киоск режима.
Режимът „киоск“ е специална конфигурация, използвана в уеб браузъри или приложения за работа в режим на цял екран без стандартните елементи на потребителския интерфейс като ленти с инструменти, адресни ленти или бутони за навигация. Той е предназначен да ограничи взаимодействието на потребителя до конкретни функции, което го прави идеален за обществени киоски, демонстрационни терминали и др.
В тази атака на Amadey обаче режимът на киоск се използва неправомерно, за да се ограничат действията на потребителите и те да бъдат ограничени до страницата за вход, като единственият видим избор е да въведат идентификационните данни за профила си.
За тази атака режимът на киоск ще бъде отворен на адрес https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, който съответства на URL адреса за смяна на паролата за акаунти в Google.
Тъй като Google изисква повторно въвеждане на паролата, преди тя да бъде променена, това дава възможност на потребителя да се легитимира отново и евентуално да запази паролата си в браузъра, когато бъде подканен.
Всички идентификационни данни, които жертвата въвежда на страницата и след това записва в браузъра при подкана, се открадват от StealC – лек и универсален инструмент за кражба на информация, пуснат в началото на 2023 г.
Потребителите, които се намират в злощастната ситуация да бъдат заключени в режим на киоск, като Esc и F11 не правят нищо, трябва да контролират разочарованието си и да избягват въвеждането на чувствителна информация във формулярите.
Вместо това опитайте други комбинации от клавиши за бърз достъп като „Alt + F4“, „Ctrl + Shift + Esc“, „Ctrl + Alt +Delete“ и „Alt +Tab“.
Те могат да помогнат за извеждане на работния плот на преден план, за преминаване през отворените приложения и за стартиране на мениджъра на задачите за прекратяване на браузъра (End Task).
Натискането на „Win Key + R“ трябва да отвори командния ред на Windows. Въведете ‘cmd’ и след това унищожете Chrome с ‘taskkill /IM chrome.exe /F.’
Ако всичко останало се провали, винаги можете да извършите твърдо нулиране, като задържите бутона за захранване, докато компютърът се изключи. Това може да доведе до загуба на неспазена работа, но този сценарий все пак би трябвало да е по-добър от кражбата на идентификационните данни на акаунта.
При рестартиране натиснете F8, изберете Safe Mode (Безопасен режим) и след като се върнете в операционната система, стартирайте пълно антивирусно сканиране, за да откриете и премахнете зловредния софтуер. Спонтанното стартиране на браузъра в киоск режим не е нормално и не трябва да се пренебрегва.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.