/ Автор: Светлана Антонова | Оставить комментарий
Исследователи в области кибербезопасности зафиксировали новый метод атаки, который активно используется злоумышленниками для кражи учётных данных пользователей через браузеры. Метод заключается в том, что жертву вынуждают вводить свои учётные данные на легитимных сайтах, после чего они попадают в хранилище учётных данных браузера и могут быть легко похищены с помощью вредоносных программ.
Данная техника была впервые замечена в конце минувшего августа и уже активно применяется с использованием вредоносной программы StealC, которая часто распространяется с помощью загрузчика Amadey.
Особенность такого подхода заключается в использовании скрипта, написанного на AutoIt, который запускает браузер жертвы в режиме киоска.
Режим киоска представляет собой специальную опцию, которая используется в браузерах и других приложениях для работы в полноэкранном режиме без стандартных элементов пользовательского интерфейса (то есть без панелей инструментов, адресных строк и кнопок навигации). Обычно этот режим используется для публичных терминалов, демонстрационных машин и так далее.
В этом режиме браузер разворачивается на полный экран и блокирует возможность пользователя закрыть или сменить страницу. Жертву приводят на страницу логина и оставляют ей лишь один выбор — ввести учетные данные. В результате пользователь, стремясь закрыть окно, вводит свои учётные данные, которые затем могут быть легко украдены с использованием вредоносного ПО.
Метод активно используется в сочетании с загрузчиком Amadey. Сначала жертва заражается этим загрузчиком, который затем загружает StealC, а вместе с ним «Credential Flusher» — инструмент, который и открывает браузер в режиме киоска. Важно отметить, что «Credential Flusher» сам по себе не ворует данные, а служит лишь способом принудить жертву к вводу своих учётных данных.
Сам скрипт на AutoIt разработан таким образом, чтобы определить, какие браузеры установлены на устройстве жертвы, и запустить их в режиме киоска на нужной странице. Обычно целью является страница входа в Google, где пользователь вводит свои данные, не подозревая о том, что они будут похищены.
Злоумышленники также могут использовать этот скрипт для других браузеров, таких как Microsoft Edge или Brave, что делает его универсальным инструментом для подобных атак. Скрипт постоянно проверяет, открыт ли браузер, и, если пользователь пытается его закрыть, он автоматически запускается снова, до тех пор, пока учётные данные не будут введены.
Эксперты предупреждают, что этот метод может стать популярным среди злоумышленников, так как режим киоска сильно ограничивает действия жертвы, создавая ложное ощущение срочности и заставляя её вводить свои данные.
Как же противостоять подобной атаке?
Как отмечает издание Bleeping Computer, даже если F11 и Escape заблокированы, выйти из режима киоска можно и другими способами. Так, можно попробовать такие комбинации клавиш, как Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt +Delete и Alt +Tab. Они могут помочь попасть на рабочий стол, переключиться между открытыми приложениями и запустить диспетчер задач для завершения работы браузера.
Также можно завершить работу Chrome через нажатие Win + R, что откроет командную строку. Затем нужно набрать cmd и завершить работу браузера командой taskkill /IM chrome.exe /F.
Если все перечисленное не сработало, всегда можно сделать хард резет, удерживая кнопку питания вплоть до выключения компьютера. Затем стоит загрузиться в «Безопасном режиме» (F8) и произвести полное антивирусное сканирование системы, чтобы найти и удалить вредоносное ПО.
С заботой о вашей безопасности, команда Origin Security