Malware vergrendelt browser in kiosk-modus om Google-inloggegevens te stelen

Een malwarecampagne gebruikt de ongebruikelijke methode om gebruikers vast te zetten in de kioskmodus van hun browser om hen te irriteren tot het invoeren van hun Google-credentials, die vervolgens worden gestolen door informatie-steelende malware.

Specifiek “vergrendelt” de malware de browser van de gebruiker op de inlogpagina van Google zonder een duidelijke manier om het venster te sluiten, aangezien de malware ook de “ESC” en “F11” toetsen op het toetsenbord blokkeert. Het doel is om de gebruiker zo gefrustreerd te krijgen dat ze hun Google-credentials invoeren en opslaan in de browser om de computer te “ontgrendelen”.

Zodra de gegevens zijn opgeslagen, steelt de informatie-steelende malware StealC deze uit de credential store en stuurt ze terug naar de aanvaller.

Kioskmodus diefstal

Volgens onderzoekers van OALABS die deze eigenaardige aanvalsmethode hebben ontdekt, wordt deze ten minste sinds 22 augustus 2024 in de wilde toegepast, voornamelijk door Amadey, een malware-loader, info-stealer en systeemverkenningsinstrument dat voor het eerst werd ingezet door hackers in 2018.

Wanneer Amadey wordt gelanceerd, zal het een AutoIt-script inzetten dat fungeert als de credential-flusher, die de geïnfecteerde machine scant op beschikbare browsers en een daarvan in kioskmodus naar een specifieke URL lanceert.

Scriptgedeelte dat Chrome of Edge lanceert in kioskmodus
Scriptgedeelte dat Chrome of Edge lanceert in kioskmodus, op een Google inlog-URL
Bron: OALABS

Het script stelt ook een negeerparameter in voor de F11- en Escape-toetsen op de browser van het slachtoffer, waardoor een gemakkelijke ontsnapping uit de kioskmodus wordt voorkomen.

Deel dat de browser instelt om indrukken van de toetsen F11 en Esc te negeren
Negeren van drukken op de toetsen F11 en Esc
Bron: OALABS

Kioskmodus is een speciale configuratie die in webbrowsers of apps wordt gebruikt om in de volledig-scherm modus te draaien zonder de standaard gebruikersinterface-elementen zoals werkbalken, adresbalken of navigatieknoppen. Het is ontworpen om gebruikersinteractie te beperken tot specifieke functies, waardoor het ideaal is voor publieke kiosken, demoterminals, etc.

In deze Amadey-aanval echter, wordt de kioskmodus misbruikt om gebruikershandelingen te beperken en hen tot de inlogpagina te beperken, met de enige schijnbare keuze om hun accountgegevens in te voeren.

Voor deze aanval wordt de kioskmodus geopend naar https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, wat overeenkomt met de URL om het wachtwoord te wijzigen voor Google-accounts.

Aangezien Google vereist dat je je wachtwoord opnieuw invoert voordat het kan worden gewijzigd, biedt dit een kans voor de gebruiker om zich opnieuw te authentiseren en mogelijk hun wachtwoord in de browser op te slaan wanneer daarom wordt gevraagd.

Wat het slachtoffer ziet op hun computer
Wat het slachtoffer ziet op hun computer
Bron: OALABS

Alle inloggegevens die het slachtoffer invoert op de pagina en vervolgens opslaat in de browser wanneer daarom wordt gevraagd, worden gestolen door StealC, een lichte en veelzijdige informatie-steeler die begin 2023 werd gelanceerd.

Kioskmodus verlaten

Gebruikers die zich in de ongelukkige situatie bevinden dat ze vastzitten in de kioskmodus, waarbij Esc en F11 niets doen, moeten hun frustratie in toom houden en het vermijden om gevoelige informatie in te voeren op formulieren.

Probeer in plaats daarvan andere sneltoetscombinaties zoals ‘Alt + F4’, ‘Ctrl + Shift + Esc’, ‘Ctrl + Alt + Delete’ en ‘Alt + Tab’.

Deze kunnen helpen om het bureaublad naar de voorgrond te brengen, door openstaande apps te schakelen en de Taakbeheer te starten om de browser (Taak beëindigen) te beëindigen.

Door ‘Win-toets + R’ in te drukken zou de Windows-opdrachtprompt moeten worden geopend. Typ ‘cmd’ en beëindig Chrome dan met ‘taskkill /IM chrome.exe /F.’

Als alles faalt, kunt u altijd een harde reset uitvoeren door de Aan/Uit-knop ingedrukt te houden totdat de computer uitschakelt. Dit kan resulteren in verlies van niet-opgeslagen werk, maar dit scenario zou nog steeds beter moeten zijn dan het laten stelen van accountgegevens.

Wanneer u opnieuw opstart, drukt u op F8, selecteert u de Veilige modus en zodra u terug bent in het besturingssysteem, voert u een volledige antivirus-scan uit om de malware te lokaliseren en te verwijderen. Spontane kioskmodus-browserlanceringen zijn niet normaal en mogen niet worden genegeerd.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----