بدافزار StealC، مرورگر را در kiosk mode قفل می‌کند تا اطلاعات گوگل را سرقت کند

security news

یک کمپین بدافزار از روش غیر معمول قفل کردن کاربران در kiosk mode مرورگر استفاده می‌کند تا آن‌ها را وادار به ورود اطلاعات Google خود کند که سپس منجر به سرقت اطلاعات توسط بدافزار سرقت اطلاعات می‌شود.

به طور ویژه، این بدافزار مرورگر کاربر را در صفحه ورود به سیستم گوگل بدون هیچ راه مشخصی برای بستن پنجره “locks” می‌کند، زیرا بدافزار همچنین کلیدهای صفحه کلید “ESC” و “F11” را مسدود می‌کند. هدف این است که کاربر مجبور به ورود اطلاعات کاربری گوگل و ذخیره آن در مرورگر شود تا رایانه unlock شود. هنگامی که اعتبارنامه‌ها ذخیره می‌شوند، بدافزار سرقت اطلاعات StealC آنها را از credential store می‌دزدد و برای مهاجم ارسال می‌کند.

به گفته محققان OALABS که این روش حمله عجیب را کشف کردند، حداقل از 22 آگوست 2024 عمدتاً توسط Amadey یک بارگیر بدافزار، سارق اطلاعات و ابزار شناسایی سیستم استفاده شده است. هنگامی که Amadey راه‌اندازی شد، اسکریپت AutoIt را به کار می‌گیرد که به عنوان credentials flusher عمل می‌کند که دستگاه آلوده را برای مرورگرهای موجود اسکن و یکی را در kiosk mode به یک URL مشخص راه‌اندازی می‌کند. این اسکریپت همچنین یک پارامتر نادیده گرفتن را برای کلیدهای F11 و Escape در مرورگر قربانی تنظیم و از فرار آسان از kiosk mode جلوگیری می‌کند.

 

https://www.bleepingcomputer.com/news/security/malware-locks-browser-in-kiosk-mode-to-steal-google-credentials/