Πρόσφατα δημοσιευμένη έρευνα αποκάλυψε πώς οι χάκερ χρησιμοποιούν μια ύπουλη νέα τεχνική για να αναγκάσουν τους χρήστες του προγράμματος περιήγησης Chrome να αποκαλύψουν τους κωδικούς πρόσβασης του λογαριασμού τους Google.
Καμπάνια μαζικών κλοπών – StealC
Σύμφωνα με τον Davey Winder και το Forbes, η εκστρατεία κλοπής διαπιστευτηρίων, η οποία χρησιμοποιεί κακόβουλο λογισμικό που ονομάζεται StealC, κλειδώνει το πρόγραμμα περιήγησης του χρήστη σε λειτουργία kiosk ενώ μπλοκάρει και τα δύο πλήκτρα F11 και ESC για να τους εμποδίσει να φύγουν από αυτήν τη λειτουργία πλήρους οθόνης.
Το μόνο πράγμα που εμφανίζεται στην οθόνη του προγράμματος περιήγησης ενώ βρίσκεστε σε αυτήν την ενοχλητική και φαινομενικά αναπόφευκτη λειτουργία kiosk είναι ένα παράθυρο login, τις περισσότερες φορές για τον ίδιο τον λογαριασμό σας στο Google, σύμφωνα με τους ερευνητές.
Οι τεχνικές των χάκερ για να αποσπάσουν τους κωδικούς στο Google
Οι επιτιθέμενοι έχουν χρησιμοποιήσει πολλές μεθόδους για να αποκτήσουν πρόσβαση σε πολύτιμους λογαριασμούς Google, το “κλειδί” για τα εισερχόμενά σας στο Gmail και τους θησαυρούς ασφάλειας που περιέχει, ή τη φράση πρόσβασης για το κρυπτο-πορτοφόλι σας.
Πρόσφατα, κακόβουλο λογισμικό προσπάθησε να χρησιμοποιήσει οπτική αναγνώριση χαρακτήρων για να αρπάξει κωδικούς πρόσβασης κρυπτονομισμάτων και ένα άλλο κακόβουλο λογισμικό που στοχεύει κωδικούς ελέγχου ταυτότητας δύο παραγόντων εξαπατώντας τους χρήστες προκειμένου να δώσουν άδεια ανάγνωσης μηνυμάτων SMS, για παράδειγμα.
Αλλά τώρα υπάρχει ένα “όπλο” με το όνομα StealC, που χρησιμοποιεί ίσως την πιο απλή αλλά και πιο αποτελεσματική μέθοδο για να αποκτήσει πρόσβαση στα διαπιστευτήρια του λογαριασμού Google: εκνευρίζει πολύ χρήστη-στόχο.
Οι ερευνητές του Open Analysis Lab αποκάλυψαν πώς η εκστρατεία κλοπής διαπιστευτηρίων χρησιμοποιεί την τεχνική τουλάχιστον από τις 22 Αυγούστου.
Στην ανάλυσή τους , οι ερευνητές του OALabs επιβεβαίωσαν ότι οι χάκερ εξαναγκάζουν το θύμα να εισαγάγει τα διαπιστευτήριά του στο πρόγραμμα περιήγησης απ’ όπου το κακόβουλο λογισμικό μπορεί στη συνέχεια να τα κλέψει.
«Η τεχνική περιλαμβάνει την εκκίνηση του προγράμματος περιήγησης του θύματος σε λειτουργία kiosk και την πλοήγηση στη σελίδα σύνδεσης της υπηρεσίας που αποτελεί στόχο, συνήθως της Google», είπαν οι ερευνητές. Επειδή η λειτουργία kiosk είναι μια ανάπτυξη πλήρους οθόνης του προγράμματος περιήγησης και το θύμα δεν μπορεί να απομακρυνθεί από αυτό ή να κλείσει την εφαρμογή, μόνο μία επιλογή είναι διαθέσιμη σε όσους είναι αρκετά ατυχείς ώστε να παγιδευτούν με αυτόν τον τρόπο: ένα παράθυρο σύνδεσης στον Λογαριασμό Google.
Εκμεταλλεύεται τα συναισθήματα του θύματος
Στην ουσία απλώς εφαρμόζει την απαραίτητη μόχλευση για να κάνει το απογοητευμένο θύμα να εισάγει το ίδιο τα διαπιστευτήρια του λογαριασμού του.
Μόλις το κάνει αυτό, τότε ένα κακόβουλο λογισμικό κλοπής διαπιστευτηρίων, σε αυτήν την περίπτωση, το StealC, αναπτύσσεται για να αρπάξει τους κωδικούς πρόσβασης από τον χώρο αποθήκευσης διαπιστευτηρίων του Chrome browser και να τους παραδώσει στους επιτιθέμενους.
Στην πραγματικότητα, ολόκληρη η εκστρατεία είναι δυνατή μόνο με τη χρήση μιας σειράς διαφορετικών γνωστών στοιχείων. Πρωτίστως το εργαλείο hacking Amadey, το οποίο χρησιμοποιείται εδώ και τουλάχιστον έξι χρόνια, που φορτώνει το κακόβουλο λογισμικό.
Οι ερευνητές του OALabs συνεργάζονται με το Loader Insight Agency, βοηθώντας στη αποτύπωση ενός τυπικού οδικού χάρτη επίθεσης:
- Το θύμα έχει μολυνθεί από το Amadey.
- Το Amadey φορτώνει το κακόβουλο λογισμικό StealC.
- Το Amadey φορτώνει το πρόγραμμα κλοπής διαπιστευτηρίων.
- Το πρόγραμμα κλοπής διαπιστευτηρίων εκκινεί το πρόγραμμα περιήγησης, σε λειτουργία kiosk.
- Το θύμα εισάγει τα στοιχεία σύνδεσής του και στη συνέχεια αυτά κλέβονται από το κακόβουλο λογισμικό StealC.
Το νέο TrickMo Attack εμφανίστηκε “μεταμφιεσμένο”
Πέρα από το StealC, φαίνεται ότι οι χρήστες του Chrome πρέπει να ανησυχούν για άλλη μια συνεχή απειλή κλοπής διαπιστευτηρίων.
Ερευνητές εντόπισαν μια νέα παραλλαγή ενός γνωστού τραπεζικού Trojan που ονομάζεται TrickMo που τώρα προσποιείται ότι είναι η εφαρμογή προγράμματος περιήγησης ιστού Google Chrome για Android.
Κατά την εγκατάσταση της ψεύτικης και κακόβουλης εφαρμογής, το θύμα θα δει μια προειδοποίηση ότι το Google Play χρειάζεται ενημέρωση και ένα παράθυρο διαλόγου με ένα κουμπί επιβεβαίωσης.
Αυτό εγκαθιστά στην πραγματικότητα μια άλλη εφαρμογή που ονομάζεται Υπηρεσίες Google, η οποία ζητά δικαιώματα χρήστη.
Καθοδηγώντας τον χρήστη μέσω της διαδικασίας, τον στέλνει να ενεργοποιήσει τις υπηρεσίες προσβασιμότητας για την εφαρμογή. Μόλις γίνει, αυτό δίνει στους εισβολείς τα αυξημένα δικαιώματα που απαιτούνται για την υποκλοπή μηνυμάτων SMS και τυχόν κωδικών ελέγχου ταυτότητας δύο παραγόντων που παραδίδονται με αυτόν τον τρόπο.
Το TrickMo χρησιμοποιεί επίσης μια επίθεση επικάλυψης HTML, εμφανίζοντας ουσιαστικά μια οθόνη που μοιάζει με γνήσια σύνδεση για τη λήψη διαπιστευτηρίων λογαριασμού.
Για να αποφύγει τον εντοπισμό από τις λειτουργίες ανίχνευσης κακόβουλου λογισμικού προγράμματος περιήγησης και συσκευής, η νέα παραλλαγή TrickM χρησιμοποιεί μια τεχνική λανθασμένης μορφής αρχείων Zip, η οποία περιλαμβάνει την προσθήκη καταλόγων που ονομάζονται με τον τρόπο όπως κρίσιμα αρχεία του συστήματος.
«Αυτή η έξυπνη στρατηγική συσκότισης μπορεί να προκαλέσει μια λειτουργία αποσυμπίεσης για την αντικατάσταση αυτών των κρίσιμων αρχείων, εμποδίζοντας πιθανώς την επακόλουθη ανάλυση», είπαν οι ερευνητές.
Πώς να μετριάζετε τις επιθέσεις σε λειτουργία Kiosk και TrickMo
Είναι ακόμα δυνατή η έξοδος από τη λειτουργία kiosk χωρίς πρόσβαση στα πιο προφανή πλήκτρα ESC ή F11 στο πληκτρολόγιο, όπως συμβουλεύει το Bleeping Computer.
Συνιστάται στους χρήστες να δοκιμάσουν συνδυασμούς πλήκτρων πρόσβασης Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt +Delete και Alt +Tab, οι οποίοι θα μπορούσαν να σας επιτρέψουν να μεταβείτε στην επιφάνεια εργασίας σας και να εκκινήσετε τη Διαχείριση εργασιών για να ακυρώσετε το πρόγραμμα περιήγησης Chrome.
Το Bleeping Computer προτείνει επίσης τη χρήση του συνδυασμού Win Key + R για να ανοίξετε μια γραμμή εντολών των Windows από όπου μπορεί να πάψε το Chrome με το «taskkill /IM chrome.exe /F».
Τέλος, υπάρχει η επιλογή του τερματισμού λειτουργίας του κουμπιού λειτουργίας. Εάν ακολουθήσετε αυτήν την προσέγγιση, φροντίστε να εκκινήσετε σε ασφαλή λειτουργία με το πλήκτρο F8 και να κάνετε πλήρη σάρωση συστήματος για τη μόλυνση από κακόβουλο λογισμικό για να αποτρέψετε την επανεμφάνισή της.
Το Malwarebytes διαθέτει έναν δωρεάν σαρωτή κακόβουλου λογισμικού που μπορεί να βοηθήσει στον καθαρισμό αυτού του συστήματος.
Όταν αντιμετωπίζετε μια επίθεση χρησιμοποιώντας την πιο πρόσφατη παραλλαγή TrickMo, η συμβουλή είναι απλή και επαναλαμβανόμενη συχνά: μην κάνετε λήψη λογισμικού Android από άλλη πηγή εκτός από το επίσημο Play Store.
VIA: FoxReport.gr
