Malware blokkolja a böngészőt kioszk módban, így szerzik meg a támadók a Google hitelesítő adatokat

Egy malware-rel kapcsolatos kampány szokatlan módszere, hogy zárolja a böngészőt kioszk módban, ezzel a Google hitelesítő adataik megadására kényszeríti a felhasználókat, amelyeket aztán az információlopó rosszindulatú programokkal ellopnak.

A kioszk mód egy speciális konfiguráció a webböngészőkben vagy az alkalmazásokban, amely teljes képernyős módban fut a szabványos felhasználói felület elemei (eszköztárak, címsorok vagy navigációs gombok) nélkül. Úgy lett tervezve, hogy a felhasználói interakciót bizonyos funkciókra korlátozza.

A malware „zárolja” a felhasználó böngészőjét a Google bejelentkezési oldalán anélkül, hogy bezárná az ablakot, illetve egyúttal blokkolja a billentyűzet ESC és F11 billentyűit is. A támadók célja ezáltal az, hogy a felhasználóknak hirtelen ne legyen más választásuk a számítógép zárolásának feloldásához, minthogy beírják és elmentik Google hitelesítő adataikat a böngészőben. A hitelesítő adatok mentése után a StealC információlopó program ellopja azokat a Google hitelesítő adattárból, majd pedig visszaküldi őket a támadónak.

A StealC egy igen sokoldalú információlopó malware. Minden olyan hitelesítő adatot, amelyet az áldozat beír az oldalon, majd kérésre elment a böngészőbe, ellop.

Először az OALABS kutatói fedezték fel a sajátos támadási módszert. Indításkor az Amadey bot (malware betöltő, információlopó és rendszer felderítő eszköz) egy AutoIt szkriptet telepít, amely megkeresi a fertőzött gépen elérhető böngészőket, majd kioszk módban elindítja az egyik böngészőt egy megadott URL címen.

 

1. ábra Egy szkript részlet, amely elindítja a Chrome-t vagy Edge-t kioszk módban egy Google bejelentkezési URL-en forrás: OALABS

 

A szkript egy olyan paramétert is beállít az F11 és az ESC billentyűkhöz, ami által lenyomásukat a számítógép figyelmen kívül hagyja, így megakadályozza azt, hogy a kioszk módból könnyen ki tudjunk lépni.

2. ábra F11 és ESC blokkolása forrás: OALABS

 

Az Amadey támadásnál a kioszk mód az alábbi címen nyílik meg, amely úgy néz ki, mint a Google jelszómódosítási URL címe.

hXXps://accounts[.]google[.]com/ServiceLogin?service=accountsettings&continue=https://myaccount[.] google[.] com/signinoptions/password

Mivel a Google kéri a jelszó újbóli megadását, annak megváltoztatása előtt, ez lehetőséget biztosít a felhasználónak, hogy újra hitelesítsék, és adott esetben elmentsék jelszavukat a böngészőben, amikor a rendszer kéri.

 

3. ábra Amit az áldozat lát a képernyőn forrás: OALABS

 

Hogy lépjünk ki Kioszk módból?

Először is, ha azon felhasználók közé tartozunk, akik a már említett Kioszk módban ragadtak, semmiképpen se adjuk meg a bizalmas adatainkat az űrlapon.

Ehelyett próbálkozzunk az alábbi gyorsbillentyű kombinációkkal, melyek segíthetnek előtérbe helyezni az asztalt, böngészni a megnyitott alkalmazások között, és elindítani a Feladatkezelőt a böngésző leállításához:

  • Alt+F4
  • Ctrl+Shift+Esc
  • Ctrl+Alt+Delete
  • Alt+Tab

A Win Key + R billentyűkombináció megnyomásával meg tudjuk nyitni a Windows parancssorát. Írjuk be a „cmd” parancsot, majd állítsuk le a Chrome-ot a „taskkill /IM chrome.exe /F ” paranccsal.

Ha egyik megoldás sem vezet eredményhez, akkor végső soron végrehajthatunk egy „hard reset” –et a bekapcsológomb folyamatos nyomva tartásával.

A számítógép újraindításakor nyomjuk meg az F8 billentyűt, válasszuk ki a Csökkentett mód lehetőséget, majd pedig futtassunk egy teljes víruskeresést.

 

(bleepingcomputer.com)