Novo golpe rouba credenciais do Google
16 de Setembro de 2024

Uma campanha de malware está utilizando o método pouco comum de prender os usuários no modo quiosque do navegador para irritá-los a ponto de inserirem suas credenciais do Google, que são posteriormente roubadas por um malware de furto de informações.

Especificamente, o malware "trava" o navegador do usuário na página de login do Google sem uma maneira óbvia de fechar a janela, já que o malware também bloqueia as teclas de teclado "ESC" e "F11".

O objetivo é frustrar o suficiente o usuário para que ele insira e salve suas credenciais do Google no navegador para "destravar" o computador.

Uma vez que as credenciais são salvas, o malware de furto de informações StealC as rouba da loja de credenciais e as envia de volta ao atacante.

De acordo com pesquisadores da OALABS que descobriram esse método de ataque peculiar, ele tem sido usado na prática desde pelo menos 22 de agosto de 2024, principalmente por Amadey, um loader de malware, info-stealer e ferramenta de reconhecimento de sistema implantada pela primeira vez por hackers em 2018.

Quando lançado, o Amadey irá implantar um script AutoIt que atua como um flusher de credenciais, que escaneia a máquina infectada por navegadores disponíveis e lança um no modo quiosque para uma URL especificada.

O script também configura um parâmetro de ignorância para as teclas F11 e Escape no navegador da vítima, evitando uma saída fácil do modo quiosque.

O modo quiosque é uma configuração especial usada em navegadores de web ou apps para rodar em modo de tela cheia sem os elementos padrão da interface do usuário, como barras de ferramentas, barras de endereço ou botões de navegação.

Ele é projetado para limitar a interação do usuário a funções específicas, tornando-o ideal para quiosques públicos, terminais de demonstração, etc.

Neste ataque do Amadey, contudo, o modo quiosque é abusado para restringir ações do usuário e limitá-lo à página de login, com a única escolha aparente sendo inserir suas credenciais de conta.

Para este ataque, o modo quiosque será aberto para https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, que corresponde à URL de mudança de senha para contas Google.

Como o Google exige que você reinsira sua senha antes que ela possa ser alterada, isso proporciona uma oportunidade para o usuário se reautenticar e potencialmente salvar sua senha no navegador quando solicitado.

Quaisquer credenciais que a vítima inserir na página e depois salvar no navegador quando solicitado são roubadas pelo StealC, um stealer de informações leve e versátil lançado no início de 2023.

Usuários que se encontrarem na situação infeliz de ficarem presos no modo quiosque, com Esc e F11 não funcionando, devem manter sua frustração sob controle e evitar inserir qualquer informação sensível nos formulários.

Em vez disso, tente outras combinações de teclas como 'Alt + F4', 'Ctrl + Shift + Esc', 'Ctrl + Alt + Delete' e 'Alt +Tab.'

Estas podem ajudar a trazer a área de trabalho para o primeiro plano, circular entre apps abertos e lançar o Gerenciador de Tarefas para terminar o navegador (Encerrar Tarefa).

Pressionar 'Win Key + R' deve abrir o prompt de comando do Windows.

Digite 'cmd' e então encerre o Chrome com 'taskkill /IM chrome.exe /F.'

Se tudo mais falhar, você sempre pode realizar um reset forçado segurando o botão de energia até o computador desligar.

Isso pode resultar na perda de trabalho não salvo, mas ainda assim, esse cenário deve ser melhor do que ter credenciais de conta roubadas.

Ao reiniciar, pressione F8, selecione Modo de Segurança e, uma vez de volta ao SO, execute uma varredura completa de antivírus para localizar e remover o malware.

Lançamentos espontâneos do navegador em modo quiosque não são normais e não devem ser ignorados.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...