Вредоносное ПО блокирует браузер в режиме киоска, чтобы украсть учетные данные Google

Вредоносная кампания использует необычный метод блокировки браузера в режиме киоска, чтобы вынудить пользователя ввести свои учетные данные Google, которые затем похищаются вредоносным ПО для кражи информации.

В частности, вредоносная программа «запирает» браузер пользователя на странице входа в Google, при этом нет очевидного способа закрыть окно, поскольку вредоносная программа также блокирует клавиши клавиатуры «ESC» и «F11». Цель состоит в том, чтобы разочаровать пользователя настолько, чтобы он ввел и сохранил свои учетные данные Google в браузере, чтобы «разблокировать» компьютер.

После сохранения учетных данных вредоносная программа StealC, похищающая информацию, крадет их из хранилища учетных данных и отправляет обратно злоумышленнику.

Кража в режиме киоска

По словам исследователей OALABS, обнаруживших этот необычный метод атаки, он используется в дикой природе как минимум с 22 августа 2024 года, в основном с помощью Amadey, загрузчика вредоносного ПО, похитителя информации и инструмента для разведки системы, впервые развернутого хакерами в 2018 году.

При запуске Amadey разворачивает AutoIt-скрипт, выполняющий роль «прошивальщика» учетных данных, который сканирует зараженную машину на наличие доступных браузеров и запускает один из них в режиме киоска по указанному URL.

Скрипт также устанавливает параметр игнорирования для клавиш F11 и Escape в браузере жертвы, предотвращая легкий выход из режима киоска.

Режим киоска - это специальная настройка, используемая в веб-браузерах или приложениях для работы в полноэкранном режиме без стандартных элементов пользовательского интерфейса, таких как панели инструментов, адресные строки или кнопки навигации. Он предназначен для ограничения взаимодействия пользователя с определенными функциями, что делает его идеальным для общественных киосков, демонстрационных терминалов и т. д.

Однако в этой атаке Amadey режим киоска используется для ограничения действий пользователя и вывода его на страницу входа в систему, где единственным очевидным выбором является ввод учетных данных.

Для этой атаки режим киоска будет открыт по адресу https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, который соответствует URL-адресу смены пароля для учетных записей Google.

Поскольку Google требует повторного ввода пароля перед его изменением, это дает пользователю возможность пройти повторную аутентификацию и, возможно, сохранить пароль в браузере при появлении соответствующего запроса.

Любые учетные данные, которые жертва вводит на странице и затем сохраняет в браузере при запросе, похищаются StealC, легким и универсальным похитителем информации, запущенным в начале 2023 года.

Выход из режима киоска

Пользователям, попавшим в неприятную ситуацию, когда они заблокированы в режиме киоска, а Esc и F11 ничего не делают, следует сдержать свое разочарование и не вводить конфиденциальную информацию в формы.

Вместо этого попробуйте использовать другие комбинации горячих клавиш, такие как «Alt + F4», «Ctrl + Shift + Esc», «Ctrl + Alt +Delete» и «Alt +Tab».

Они помогут вывести рабочий стол на передний план, переключиться между открытыми приложениями и запустить диспетчер задач для завершения работы браузера (End Task).

Нажатие 'Win Key + R' откроет командную строку Windows. Введите «cmd», а затем завершите работу Chrome командой «taskkill /IM chrome.exe /F».

Если ничего не получается, вы всегда можете сделать жесткий сброс, удерживая кнопку питания до выключения компьютера. Это может привести к потере несохраненных работ, но такой сценарий все же лучше, чем кража учетных данных.

При перезагрузке нажмите F8, выберите Безопасный режим и, вернувшись в ОС, запустите полное антивирусное сканирование, чтобы найти и удалить вредоносное ПО. Спонтанные запуски браузеров в режиме киоска - это ненормально, и их не стоит игнорировать.