Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Opisi virusa, 17.09.2024, 12:30 PM

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Google nalog, koje će potom malver ukrasti.

Malver „zaključava“ pretraživač korisnika na Googleovoj stranici za prijavljivanje, tako da korisnik nema način da zatvori prozor, pošto malver blokira tastere „ESC“ i „F11“ na tastaturi. Cilj je dovoljno iznervirati korisnika da na kraju unese i sačuva podatke za prijavljivanje za Google nalog u pretraživaču kako bi „otključao“ računar. Kada se uneti podaci sačuvaju, malver za krađu informacija StealC ih krade i šalje napadaču.

Prema rečima istraživača OALABS-a koji su otkrili ovaj neobičan metod napada, napadi su počeli 22. avgusta 2024. Napad počinje uglavnom Amadey-om, alatom za učitavanje malvera, krađu informacija i izviđanje sistema koji su hakeri prvi put počeli da koriste još 2018. godine.

Kada se pokrene, Amadey će koristiti AutoIt skriptu koja skenira zaraženi uređaj tražeći dostupne pretraživače i pokreće jedan u režimu kioska za određeni URL. Ista skripta sprečava korisnika da izađe iz režima kioska tasterima F11 i ESC.

Režim kioska je posebna konfiguracija koja se koristi u veb pregledačima ili aplikacijama za rad u režimu celog ekrana bez standardnih elemenata korisničkog interfejsa kao što su trake sa alatkama, adresne trake ili tasteri za navigaciju. Dizajniran je da ograniči interakciju korisnika na određene funkcije, što ga čini idealnim za javne kioske, demonstracione terminale itd. Međutim, u ovom napadu režim kioska se zloupotrebljava da bi se ograničile radnje korisnika a on zadržao na stranici za prijavu, sa jedinim očiglednim izborom - da se unesu podaci za prijavljivanje na nalog.

Za ovaj napad, režim kioska će biti otvoren na https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, što odgovara URL adresi stranice za promenu lozinke za Google naloge.

Sve podatke koje žrtva unese na stranicu, a zatim sačuva u pretraživaču kada se to zatraži, StealC krade.

Korisnici koji se nađu u situaciji da budu zaključani u režimu kioska, a ESC i F11 ne rade ništa, trebalo bi da izbegavaju da unose bilo kakve osetljive informacije u obrasce. Umesto toga, treba probati druge kombinacije tastera kao što su „Alt + F4“, „Ctrl + Shift + Esc“, „Ctrl + Alt +Delete“ i „Alt + Tab“.

To može pomoći žrtvi da se kreće kroz otvorene aplikacije i pokrene Task Manager da bi se zatvorio pregledač (End Task).

Pritisak na „Win Key + R“ trebalo da otvori Windows komandnu liniju. Otkucajte „cmd“, a zatim ugasite Chrome pomoću „taskkill /IM chrome.exe /F“.

Ako ništa od ovoga ne uspe, uvek možete izvršiti resetovanje tako što ćete držati dugme za napajanje dok se računar ne isključi. Ovo može dovesti do toga da izgubite ono što ste radili a niste sačuvali, ali ovaj scenario je bolji od krađe akreditiva naloga.

Prilikom ponovnog pokretanja, treba pritisnuti F8, izabrati Safe Mode, a kada se vratite na OS, pokrenite skeniranje antivirusa da biste uklonili malver.