Зловредна кампания използва необичайния метод на заключване на потребителите в режим на киоск на браузъра, за да ги накара да въведат данните си за достъп до Google, които след това да бъдат откраднати от специализиран малуер за крадене на информация.
По-конкретно, зловредният софтуер „заключва“ браузъра на потребителя на страницата за вход в Google без очевиден начин за затваряне на прозореца, тъй като зловредният софтуер блокира и клавишите ESC и F11 на клавиатурата. Целта е потребителят да бъде дотолкова разочарован, че да въведе и запази своите идентификационни данни за Google в браузъра, за да "отключи" компютъра.
След като идентификационните данни са запазени, зловредният софтуер StealC, който извършва кражбата на информация, ги извлича от хранилището за идентификационни данни и ги изпраща обратно на нападателя. Изданието BleepingComputer допълва, че по данни на изследователите от OALABS, които са открили този специфичен метод за атака, той се използва в реалния свят поне от 22 август 2024 г. насам, основно от Amadey - малуер за изтегляне на зловреден софтуер, крадец на информация и инструмент за разузнаване на системата, използван за първи път от хакери още през 2018 г.
Кражбата в режим на киоск
Когато бъде стартиран, Amadey стартира AutoIt скрипт, който изпълнява функцията на промяна на правата. И още: той сканира заразената машина за наличните браузъри и стартира един от тях в режим на киоск към зададен URL адрес.
Скриптът също така задава игнориране на клавишите F11 и Escape в браузъра на жертвата, което предотвратява лесното излизане от киоск режима. Режимът „киоск“ е специална конфигурация, използвана в уеб браузърите или приложенията за работа в режим на цял екран без стандартните елементи на потребителския интерфейс като ленти с инструменти, адресни ленти или бутони за навигация. Той е проектиран да ограничава взаимодействието на потребителя до конкретни функции, което го прави идеален за обществени информационни щандове, демонстрационни терминали и др.
В тази атака на Amadey обаче режимът на киоск се използва за ограничаване действията на потребителите и ги свежда само до страницата за логване, като единственият очевиден избор е те да въведат своите идентификационни данни за акаунта. Тъй като Google изисква повторно въвеждане на паролата, преди тя да бъде променена, това дава възможност на потребителя да се легитимира отново и евентуално да запази паролата си в браузъра, когато бъде подканен.
Всички идентификационни данни, които жертвата въвежда на страницата и след това записва в браузъра при поискване, се присвояват от StealC - лек и универсален инструмент за кражба на информация, пуснат в началото на 2023 г.
Излизането от режима
Когато потребителите са блокирани по този неприятен начин, силно се препоръчва да не въвеждат поверителна информация в различните полета. От този малуер режим може да се излезе по няколко начина. Ето някои от тях.
- Вместо блокираните Esc и F11 може да се използват комбинации от клавиши за бърз достъп като Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt +Delete и Alt +Tab.
- Натискането на „Win Key + R“ трябва да отвори командния ред на Windows. Въведете 'cmd' и след това спрете Chrome с 'taskkill /IM chrome.exe /F'.
- Ако всичко се провали винаги можете да задържите за няколко секунди бутона за включване на компютърната система, след което тя ще се изключи. Това може да доведе до загуба на данните, които не са записани към този момент, но все пак е по-добре от кражбата на данните за логване.
- Добра идея е при стартирането да се натисне и задържи клавиша F8 и от появилото се меню да се стартира операционната система в безопасен режим (Safe Mode).
- Оттам трябва да се стартира пълно антивирусно сканиране, за да се изчисти малуера.
И накрая, спонтанното влизане на браузъра в киоск режим никак не е наред, не е нормално и не трябва да се пренебрегва.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари