Μια καμπάνια κακόβουλου λογισμικού χρησιμοποιεί την ασυνήθιστη μέθοδο κλειδώματος των χρηστών στη λειτουργία kiosk του προγράμματος περιήγησής τους για να τους ενοχλήσει να εισαγάγουν τα διαπιστευτήριά τους Google, τα οποία στη συνέχεια κλέβονται από κακόβουλο λογισμικό που κλέβει πληροφορίες.
Συγκεκριμένα, το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google χωρίς προφανή τρόπο να κλείσει το παράθυρο, καθώς το κακόβουλο λογισμικό μπλοκάρει επίσης τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να απογοητευτεί ο χρήστης αρκετά ώστε να εισαγάγει και να αποθηκεύσει τα διαπιστευτήριά του Google στο πρόγραμμα περιήγησης για να “ξεκλειδώσει” τον υπολογιστή.
Μόλις αποθηκευτούν τα διαπιστευτήρια, το κακόβουλο λογισμικό κλοπής πληροφοριών StealC τα κλέβει από το κατάστημα διαπιστευτηρίων και τα στέλνει πίσω στον εισβολέα.
Κλοπή λειτουργίας περιπτέρου
Σύμφωνα με Ερευνητές του OALABS ο οποίος αποκάλυψε αυτή την περίεργη μέθοδο επίθεσης, έχει χρησιμοποιηθεί στη φύση τουλάχιστον από τις 22 Αυγούστου 2024, κυρίως από την Amadey, ένα εργαλείο φόρτωσης κακόβουλου λογισμικού, κλέφτη πληροφοριών και εργαλείο αναγνώρισης συστήματος που αναπτύχθηκε για πρώτη φορά από χάκερ το 2018.
Κατά την εκκίνηση, το Amadey θα αναπτύξει ένα σενάριο AutoIt που λειτουργεί ως το flusher διαπιστευτηρίων, το οποίο σαρώνει το μολυσμένο μηχάνημα για διαθέσιμα προγράμματα περιήγησης και εκκινεί ένα σε λειτουργία kiosk σε μια καθορισμένη διεύθυνση URL.
Πηγή: OALABS
Το σενάριο ορίζει επίσης μια παράμετρο ignore για τα πλήκτρα F11 και Escape στο πρόγραμμα περιήγησης του θύματος, αποτρέποντας την εύκολη διαφυγή από τη λειτουργία kiosk.
Πηγή: OALABS
Η λειτουργία Kiosk είναι μια ειδική διαμόρφωση που χρησιμοποιείται σε προγράμματα περιήγησης ιστού ή εφαρμογές για εκτέλεση σε λειτουργία πλήρους οθόνης χωρίς τα τυπικά στοιχεία διεπαφής χρήστη, όπως γραμμές εργαλείων, γραμμές διευθύνσεων ή κουμπιά πλοήγησης. Έχει σχεδιαστεί για να περιορίζει την αλληλεπίδραση των χρηστών σε συγκεκριμένες λειτουργίες, καθιστώντας το ιδανικό για δημόσια περίπτερα, τερματικά επίδειξης κ.λπ.
Σε αυτήν την επίθεση Amadey, ωστόσο, γίνεται κατάχρηση της λειτουργίας kiosk για τον περιορισμό των ενεργειών των χρηστών και τον περιορισμό τους στη σελίδα σύνδεσης, με τη μόνη προφανή επιλογή να εισαγάγουν τα διαπιστευτήρια του λογαριασμού τους.
Για αυτήν την επίθεση, η λειτουργία kiosk θα ανοίξει στη διεύθυνση https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, η οποία αντιστοιχεί στη διεύθυνση URL αλλαγής κωδικού πρόσβασης για την Google λογαριασμούς.
Καθώς η Google απαιτεί από εσάς να εισαγάγετε ξανά τον κωδικό πρόσβασής σας για να μπορέσει να αλλάξει, παρέχει στον χρήστη την ευκαιρία να ελέγξει ξανά την ταυτότητα και ενδεχομένως να αποθηκεύσει τον κωδικό πρόσβασής του στο πρόγραμμα περιήγησης όταν του ζητηθεί.
Πηγή: OALABS
Τυχόν διαπιστευτήρια που εισάγει το θύμα στη σελίδα και στη συνέχεια αποθηκεύει στο πρόγραμμα περιήγησης όταν του ζητηθεί, κλέβονται από το StealC, ένα ελαφρύ και ευέλικτο πρόγραμμα κλοπής πληροφοριών που κυκλοφόρησε στις αρχές του 2023.
Έξοδος από τη λειτουργία περιπτέρου
Οι χρήστες που βρίσκονται στην ατυχή κατάσταση να κλειδωθούν στη λειτουργία kiosk, με τα Esc και F11 να μην κάνουν τίποτα, θα πρέπει να κρατούν υπό έλεγχο την απογοήτευσή τους και να αποφεύγουν να εισάγουν ευαίσθητες πληροφορίες σε φόρμες.
Αντ ‘αυτού, δοκιμάστε άλλους συνδυασμούς πλήκτρων πρόσβασης όπως ‘Alt + F4’, ‘Ctrl + Shift + Esc’, ‘Ctrl + Alt +Delete’ και ‘Alt +Tab’.
Αυτά μπορεί να σας βοηθήσουν να φέρετε την επιφάνεια εργασίας στο προσκήνιο, να περιηγηθείτε σε ανοιχτές εφαρμογές και να εκκινήσετε τη Διαχείριση εργασιών για να τερματίσετε το πρόγραμμα περιήγησης (Τερματισμός εργασίας).
Πατώντας «Win Key + R» θα ανοίξει η γραμμή εντολών των Windows. Πληκτρολογήστε ‘cmd’ και, στη συνέχεια, σκοτώστε το Chrome με το ‘taskkill /IM chrome.exe /F.’
Εάν όλα τα άλλα αποτύχουν, μπορείτε πάντα να πραγματοποιήσετε μια σκληρή επαναφορά κρατώντας πατημένο το κουμπί λειτουργίας μέχρι να τερματιστεί η λειτουργία του υπολογιστή. Αυτό μπορεί να έχει ως αποτέλεσμα την απώλεια μη αποθηκευμένης εργασίας, αλλά αυτό το σενάριο θα πρέπει να είναι καλύτερο από την κλοπή των διαπιστευτηρίων λογαριασμού.
Κατά την επανεκκίνηση, πατήστε F8, επιλέξτε Ασφαλής λειτουργία και μόλις επιστρέψετε στο λειτουργικό σύστημα, εκτελέστε μια πλήρη σάρωση προστασίας από ιούς για να εντοπίσετε και να αφαιρέσετε το κακόβουλο λογισμικό. Οι αυθόρμητες εκκινήσεις προγράμματος περιήγησης σε λειτουργία kiosk δεν είναι φυσιολογικές και δεν πρέπει να αγνοηθούν.
VIA: bleepingcomputer.com
