Remedierea rapidă este ctrl+alt+delete
Pe scurt: Cercetătorii de securitate au descoperit o nouă metodă de phishing, care utilizează modul chioșc în browsere pentru a fura acreditările. Tehnica prinde utilizatorii pe o pagină de conectare pe ecran complet (autentificarea Google este cea mai comună) fără altă opțiune decât să le introducă detaliile. Apoi folosesc un furt de acreditări pentru a prelua informațiile.
Experții în securitate cibernetică de la OALabs au descoperit un nou vector de atac pentru furtul acreditărilor. Metoda unică presupune lansarea browserului utilizatorului în modul chioșc la o pagină de conectare (de obicei Google). Modul chioșc este util pentru izolarea unui sistem pentru a rula anumite aplicații. Un bancomat este un exemplu familiar.
Deoarece modul chioșc rulează o aplicație în ecran complet, nu există nicio modalitate aparentă de a ieși din program în afară de apăsarea F11 pentru a ieși din ecranul complet. Din păcate, programul malware dezactivează tastele funcționale. Fără ieșire din browser, singura opțiune disponibilă utilizatorilor este introducerea numelui de utilizator și a parolei, care sunt imediat furate de malware. Un furt de acreditări numit „StealC” este cel mai comun.
StealC permite atacatorilor să extragă date din magazinul de acreditări al browserului. OALabs a observat pentru prima dată această metodă de atac pe 22 august 2024 și a numit-o „Credential Flusher”. Agenția Loader Insight observă că această metodă este desfășurată frecvent de rețeaua botnet Amadey atunci când distribuie StealC.
Este aceasta o nouă tehnică de furt sau doar ceva care zboară sub radar?
– Deschideți browserul în modul chioșc (fără escape)
– Forțați utilizatorul să introducă credite Google
– Fură-le din browser!cc @unpacme @LIA_Intel https://t.co/heLbiNo8y5
– herrcore (@herrcore) 12 septembrie 2024
Odată ce hackerii au acreditările, de obicei schimbă parola Google a țintelor, ceea ce îi împiedică să acceseze toate serviciile Google precum Gmail și Google Docs. Victimele vor pierde, de asemenea, accesul la orice site web terță parte pe care l-au configurat folosind funcția Conectați-vă cu Google.
Cercetătorii subliniază că Credential Flusher nu este un furt de acreditări în sine.
Este pur și simplu folosit pentru a presă victima să-și introducă acreditările, așa că trebuie folosit împreună cu un hoț.
- În primul rând, victima este infectată cu Amadey (malware de implementare a sarcinii utile).
- Amadey este apoi folosit pentru a încărca StealC.
- Apoi Amadey încarcă Credential Flusher.
- Credential Flusher lansează apoi browserul în modul chioșc pentru a forța victima să-și introducă acreditările, care pot fi apoi furate de StealC.
Pălăriile albe spun, de asemenea, că au văzut această tehnică folosită doar cu Chrome. Cu toate acestea, alte browsere au caracteristici similare modului chioșc, așa că este posibil să modificați atacul pentru a utiliza altceva decât browserul Google.
Din fericire, Credential Flusher are unele defecte care îl fac mai puțin o amenințare. În primul rând, a fi aruncat în modul chioșc la deschiderea Chrome ar trebui să ridice tot felul de steaguri roșii cu toți, cu excepția celor foarte naivi sau neexperimentați. Doar că nu este un comportament normal. În al doilea rând, în timp ce malware-ul poate dezactiva tastele funcționale, puține lucruri pot rezista vechiului ctrl+alt+delete. Folosind această relicvă Windows, utilizatorii își pot reporni computerul sau pot folosi Managerul de activități pentru a închide Chrome.
Cu toate acestea, cea mai eficientă atenuare este doar să nu descărcați aplicații incomplete. Majoritatea, dar nu toate instalările de malware necesită acțiune din partea utilizatorului. Nu-l atingeți dacă nu știți ce este sau de unde provine. Pare evident, dar totuși, mulți oameni se îndrăgostesc de malware deghizat în aplicație la îndemână.
Credit imagine: Richard Patterson