恶意软件将浏览器锁定在自助服务终端模式以窃取 Google 凭证

admin 2024年9月19日14:53:37评论6 views字数 1391阅读4分38秒阅读模式

恶意软件将浏览器锁定在自助服务终端模式以窃取 Google 凭证

恶意软件活动使用一种不寻常的方法,将用户锁定在浏览器的自助服务终端模式中,以骚扰他们输入他们的 Google 凭证,然后这些凭证被窃取信息的恶意软件窃取。
具体来说,该恶意软件会将用户的浏览器“锁定”在 Google 的登录页面上,并且无法关闭该窗口,因为该恶意软件还会阻止键盘上的“ESC”和“F11”键。其目的是让用户感到沮丧,从而让他们输入并保存其 Google 凭据以“解锁”计算机。
一旦保存了凭证,StealC 信息窃取恶意软件就会从凭证存储中窃取它们并将其发送回攻击者。
自助服务终端模式盗窃
据发现这种特殊攻击方法的OALABS 研究人员称,该方法至少自 2024 年 8 月 22 日以来就已在野使用,主要由Amadey使用,Amadey 是一种恶意软件加载器、信息窃取程序和系统侦察工具,由黑客于 2018 年首次部署。
启动后,Amadey 将部署一个充当凭证刷新程序的 AutoIt 脚本,该脚本会扫描受感染的机器以查找可用的浏览器,并以信息亭模式启动一个浏览器到指定的 URL

恶意软件将浏览器锁定在自助服务终端模式以窃取 Google 凭证

该脚本还为受害者浏览器上的 F11 和 Esc 键设置了忽略参数,防止受害者轻易退出信息亭模式。

恶意软件将浏览器锁定在自助服务终端模式以窃取 Google 凭证

信息亭模式是网络浏览器或应用中使用的一种特殊配置,可在全屏模式下运行,而无需工具栏、地址栏或导航按钮等标准用户界面元素。该模式旨在将用户交互限制在特定功能上,非常适合公共信息亭、演示终端等。
然而,在这次 Amadey 攻击中,信息亭模式被滥用来限制用户操作并将其限制在登录页面,唯一明显的选择是输入他们的帐户凭据。
对于这次攻击,kiosk 模式将会打开 https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password,这个地址对应着 Google 账户的更改密码网址。
由于 Google 要求您在更改密码之前重新输入密码,因此它为用户提供了在提示时重新进行身份验证并在浏览器中保存密码的机会。

恶意软件将浏览器锁定在自助服务终端模式以窃取 Google 凭证

受害者在页面上输入的任何凭据,然后在提示时保存到浏览器,都会被 StealC 窃取,StealC 是一款轻量级且多功能的信息窃取程序,于 2023 年初推出。
退出自助服务终端模式
如果用户不幸发现自己被锁定在信息亭模式,且 Esc 和 F11 键无法执行任何操作,则应控制自己的沮丧情绪,避免在表单上输入任何敏感信息。
相反,尝试其他热键组合,如“Alt + F4”、“Ctrl + Shift + Esc”、“Ctrl + Alt + Delete”和“Alt +Tab”。
这些可能有助于将桌面置于前台,循环打开的应用程序,并启动任务管理器来终止浏览器(结束任务)。
按“Win 键 + R”应打开 Windows 命令提示符。输入“cmd”,然后使用“taskkill /IM chrome.exe /F”终止 Chrome。
如果其他方法都失败了,您可以随时通过按住电源按钮直到计算机关闭来执行硬重置。这可能会导致未保存的工作丢失,但这种情况仍然比帐户凭据被盗要好。
重新启动时,按 F8,选择安全模式,返回操作系统后,运行完整的防病毒扫描以查找并删除恶意软件。自发启动信息亭模式浏览器是不正常的,不应忽略。

信息来源:BleepingComputer

原文始发于微信公众号(犀牛安全):恶意软件将浏览器锁定在自助服务终端模式以窃取 Google 凭证

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月19日14:53:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意软件将浏览器锁定在自助服务终端模式以窃取 Google 凭证https://cn-sec.com/archives/3179695.html

发表评论

匿名网友 填写信息