یک کمپین بدافزار از روش غیر معمول قفل کردن کاربران در kiosk mode مرورگر استفاده میکند تا آنها را وادار به ورود اطلاعات Google خود کند که سپس منجر به سرقت اطلاعات توسط بدافزار سرقت اطلاعات میشود.
به طور ویژه، این بدافزار مرورگر کاربر را در صفحه ورود به سیستم گوگل بدون هیچ راه مشخصی برای بستن پنجره “locks” میکند، زیرا بدافزار همچنین کلیدهای صفحه کلید “ESC” و “F11” را مسدود میکند. هدف این است که کاربر مجبور به ورود اطلاعات کاربری گوگل و ذخیره آن در مرورگر شود تا رایانه unlock شود. هنگامی که اعتبارنامهها ذخیره میشوند، بدافزار سرقت اطلاعات StealC آنها را از credential store میدزدد و برای مهاجم ارسال میکند.
به گفته محققان OALABS که این روش حمله عجیب را کشف کردند، حداقل از 22 آگوست 2024 عمدتاً توسط Amadey یک بارگیر بدافزار، سارق اطلاعات و ابزار شناسایی سیستم استفاده شده است. هنگامی که Amadey راهاندازی شد، اسکریپت AutoIt را به کار میگیرد که به عنوان credentials flusher عمل میکند که دستگاه آلوده را برای مرورگرهای موجود اسکن و یکی را در kiosk mode به یک URL مشخص راهاندازی میکند. این اسکریپت همچنین یک پارامتر نادیده گرفتن را برای کلیدهای F11 و Escape در مرورگر قربانی تنظیم و از فرار آسان از kiosk mode جلوگیری میکند.
https://www.bleepingcomputer.com/news/security/malware-locks-browser-in-kiosk-mode-to-steal-google-credentials/
