Egy malware-rel kapcsolatos kampány szokatlan módszere, hogy zárolja a böngészőt kioszk módban, ezzel a Google hitelesítő adataik megadására kényszeríti a felhasználókat, amelyeket aztán az információlopó rosszindulatú programokkal ellopnak.
A kioszk mód egy speciális konfiguráció a webböngészőkben vagy az alkalmazásokban, amely teljes képernyős módban fut a szabványos felhasználói felület elemei (eszköztárak, címsorok vagy navigációs gombok) nélkül. Úgy lett tervezve, hogy a felhasználói interakciót bizonyos funkciókra korlátozza.
A malware „zárolja” a felhasználó böngészőjét a Google bejelentkezési oldalán anélkül, hogy bezárná az ablakot, illetve egyúttal blokkolja a billentyűzet ESC és F11 billentyűit is. A támadók célja ezáltal az, hogy a felhasználóknak hirtelen ne legyen más választásuk a számítógép zárolásának feloldásához, minthogy beírják és elmentik Google hitelesítő adataikat a böngészőben. A hitelesítő adatok mentése után a StealC információlopó program ellopja azokat a Google hitelesítő adattárból, majd pedig visszaküldi őket a támadónak.
A StealC egy igen sokoldalú információlopó malware. Minden olyan hitelesítő adatot, amelyet az áldozat beír az oldalon, majd kérésre elment a böngészőbe, ellop.
Először az OALABS kutatói fedezték fel a sajátos támadási módszert. Indításkor az Amadey bot (malware betöltő, információlopó és rendszer felderítő eszköz) egy AutoIt szkriptet telepít, amely megkeresi a fertőzött gépen elérhető böngészőket, majd kioszk módban elindítja az egyik böngészőt egy megadott URL címen.
1. ábra Egy szkript részlet, amely elindítja a Chrome-t vagy Edge-t kioszk módban egy Google bejelentkezési URL-en forrás: OALABS
A szkript egy olyan paramétert is beállít az F11 és az ESC billentyűkhöz, ami által lenyomásukat a számítógép figyelmen kívül hagyja, így megakadályozza azt, hogy a kioszk módból könnyen ki tudjunk lépni.
2. ábra F11 és ESC blokkolása forrás: OALABS
Az Amadey támadásnál a kioszk mód az alábbi címen nyílik meg, amely úgy néz ki, mint a Google jelszómódosítási URL címe.
hXXps://accounts[.]google[.]com/ServiceLogin?service=accountsettings&continue=https://myaccount[.] google[.] com/signinoptions/password
Mivel a Google kéri a jelszó újbóli megadását, annak megváltoztatása előtt, ez lehetőséget biztosít a felhasználónak, hogy újra hitelesítsék, és adott esetben elmentsék jelszavukat a böngészőben, amikor a rendszer kéri.
3. ábra Amit az áldozat lát a képernyőn forrás: OALABS
Hogy lépjünk ki Kioszk módból?
Először is, ha azon felhasználók közé tartozunk, akik a már említett Kioszk módban ragadtak, semmiképpen se adjuk meg a bizalmas adatainkat az űrlapon.
Ehelyett próbálkozzunk az alábbi gyorsbillentyű kombinációkkal, melyek segíthetnek előtérbe helyezni az asztalt, böngészni a megnyitott alkalmazások között, és elindítani a Feladatkezelőt a böngésző leállításához:
- Alt+F4
- Ctrl+Shift+Esc
- Ctrl+Alt+Delete
- Alt+Tab
A Win Key + R billentyűkombináció megnyomásával meg tudjuk nyitni a Windows parancssorát. Írjuk be a „cmd” parancsot, majd állítsuk le a Chrome-ot a „taskkill /IM chrome.exe /F ” paranccsal.
Ha egyik megoldás sem vezet eredményhez, akkor végső soron végrehajthatunk egy „hard reset” –et a bekapcsológomb folyamatos nyomva tartásával.
A számítógép újraindításakor nyomjuk meg az F8 billentyűt, válasszuk ki a Csökkentett mód lehetőséget, majd pedig futtassunk egy teljes víruskeresést.
