Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.
Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να “ξεκλειδώσει” τον υπολογιστή.
Μόλις αποθηκευτούν τα credentials, το info-stealer malware StealC τα κλέβει από το credential store και τα στέλνει στους επιτιθέμενους.
Kiosk mode
Αυτή η ασυνήθιστη μέθοδος κλοπής ανακαλύφθηκε από ερευνητές της OALABS, οι οποίοι παρατήρησαν ότι έχει χρησιμοποιηθεί σε επιθέσεις, τουλάχιστον από τις 22 Αυγούστου 2024. Έχει χρησιμοποιηθεί σε επίθεση που χρησιμοποιούσε το Amadey, ένα γνωστό info-stealer malware, εργαλείο φόρτωσης κακόβουλου λογισμικού και system reconnaissance tool, το οποίο βοηθούσε στη φόρτωση του StealC.
Δείτε επίσης: GitHub: Σχόλια καταχρώνται και προωθούν το Lumma Stealer
Κατά την εκκίνηση, το Amadey θα αναπτύξει ένα AutoIt script, το οποίο σαρώνει το μολυσμένο μηχάνημα για διαθέσιμα προγράμματα περιήγησης, επιλέγει ένα και το θέτει σε kiosk mode σε μια καθορισμένη διεύθυνση URL.
Το script ορίζει επίσης μια παράμετρο ignore, ώστε να μπλοκάρει τα πλήκτρα F11 και Escape στο πρόγραμμα περιήγησης του θύματος. Με αυτόν τον τρόπο, εμποδίζει τη διαφυγή από το kiosk mode.
Το kiosk mode είναι μια ειδική διαμόρφωση που χρησιμοποιείται σε προγράμματα περιήγησης ή εφαρμογές, για εκτέλεση σε λειτουργία πλήρους οθόνης. Δεν υπάρχουν τα τυπικά στοιχεία διεπαφής χρήστη, όπως γραμμές εργαλείων, γραμμές διευθύνσεων ή κουμπιά πλοήγησης. Ουσιαστικά, περιορίζει την αλληλεπίδραση των χρηστών με συγκεκριμένες λειτουργίες.
Στην επίθεση που παρατήρησαν οι ερευνητές, με το Amadey, έγινε κατάχρηση του kiosk mode για τον περιορισμό των ενεργειών των χρηστών και την παραμονή τους στη σελίδα σύνδεσης της Google, με τη μόνη προφανή επιλογή να εισαγάγουν τα διαπιστευτήρια του λογαριασμού τους.
Σε αυτήν την επίθεση, το kiosk mode άνοιξε στη διεύθυνση https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, η οποία αντιστοιχεί στη διεύθυνση URL αλλαγής κωδικού πρόσβασης για Google λογαριασμούς.
Η Google απαιτεί από το χρήστη να εισαγάγει ξανά τον κωδικό πρόσβασής του για να μπορέσει να αλλάξει, και άρα αυτός επιβεβαιώνει ξανά την ταυτότητά του, ενώ μπορεί και να αποθηκεύσει τον κωδικό πρόσβασής του στο πρόγραμμα περιήγησης, όταν του ζητηθεί.
Δείτε επίσης: Cthulhu Stealer: Νέο info-stealer malware στοχεύει MacOS
Αν οι χρήστες εισαγάγουν όντως τα credentials τους στη σελίδα και στη συνέχεια τα αποθηκεύσουν στο πρόγραμμα περιήγησης, βρίσκονται σε κίνδυνο, αφού το info-stealer malware StealC θα τα κλέψει και θα τα στείλει στον επιτιθέμενο.
Έξοδος από το kiosk mode
Όπως προείπαμε, οι επιτιθέμενοι έχουν φροντίσει να μπλοκάρουν τα πλήκτρα Esc και F11. Ωστόσο, αν βρεθεί κάποιος σε αυτή την κατάσταση, θα πρέπει να κρατήσει την ψυχραιμία του και να μην εισαγάγει τα Google credentials του.
Αντ’ αυτού, δοκιμάστε άλλους συνδυασμούς πλήκτρων όπως ‘Alt + F4’, ‘Ctrl + Shift + Esc’, ‘Ctrl + Alt +Delete’ και ‘Alt +Tab’. Ίσως αυτά βοηθήσουν να βρεθείτε και πάλι στην επιφάνεια εργασίας και να εκκινήσετε τη Διαχείριση εργασιών για να τερματίσετε το πρόγραμμα περιήγησης (Τερματισμός εργασίας).
Πατώντας «Win Key + R» θα ανοίξει η γραμμή εντολών των Windows. Πληκτρολογήστε ‘cmd’ και, στη συνέχεια, τερματίστε το Chrome με το ‘taskkill /IM chrome.exe /F.’
Αν δεν λειτουργήσει τίποτα από αυτά, μπορείτε ακόμα να δοκιμάσετε να κάνετε μια επαναφορά, κρατώντας πατημένο το κουμπί λειτουργίας μέχρι να τερματιστεί η λειτουργία του υπολογιστή. Αυτό μπορεί να έχει ως αποτέλεσμα την απώλεια μη αποθηκευμένης εργασίας. Κατά την επανεκκίνηση, πατήστε F8, επιλέξτε Safe Mode και μόλις επιστρέψετε στο λειτουργικό σύστημα, εκτελέστε μια πλήρη σάρωση προστασίας από ιούς για να εντοπίσετε και να αφαιρέσετε το κακόβουλο λογισμικό.
Προστασία από info-stealer malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.
Δείτε επίσης: RHADAMANTHYS Stealer κλέβει διαπιστευτήρια σύνδεσης
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες για να τις προστατεύσετε από malware, όπως το StealC. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: www.bleepingcomputer.com