Kötü amaçlı yazılım kampanyası, Google kimlik bilgilerini girmeye rahatsız etmek için tarayıcılarının kiosk modunda kullanıcıları kilitleme yöntemi kullanır ve daha sonra bilgi çalma kötü amaçlı yazılımları tarafından çalınır.
Özellikle, kötü amaçlı yazılım, "ESC" ve "F11" klavye tuşlarını da engellediğinden, kötü amaçlı yazılım, Google'ın giriş sayfasındaki kullanıcının oturum açma sayfasındaki "kilitlenir". Amaç, bilgisayarı "kilidini açmak" için tarayıcıya Google kimlik bilgilerini girip kaydetmelerini yeterince hayal kırıklığına uğratmaktır.
Kimlik bilgileri kaydedildikten sonra, STEALC bilgi çalan kötü amaçlı yazılım onları kimlik bilgisi deposundan çalar ve bunları saldırgana geri gönderir.
Bu tuhaf saldırı yöntemini ortaya çıkaran Oalabs araştırmacılarına göre, en az 22 Ağustos 2024'ten beri vahşi doğada, esas olarak bir kötü amaçlı yazmacı, info-stealer ve sistem keşif aracı Amadey tarafından 2018 yılında ilk kez konuşlandırıldı.
Başlatıldığında Amadey, enfekte makineyi mevcut tarayıcılar için tarayan ve bir tane kiosk modunda bir tane başlatan kimlik bilgileri floş olarak hareket eden bir otomatik komut dosyası dağıtacak.
Komut dosyası ayrıca kurbanın tarayıcısındaki F11 ve kaçış anahtarları için bir Yoksay parametresi ayarlayarak kiosk modundan kolay bir kaçış önler.
Kiosk modu, araç çubukları, adres çubukları veya navigasyon düğmeleri gibi standart kullanıcı arayüz öğeleri olmadan tam ekran modunda çalıştırmak için web tarayıcılarında veya uygulamalarda kullanılan özel bir yapılandırmadır. Kullanıcı etkileşimini belirli işlevlerle sınırlamak için tasarlanmıştır, bu da kamu libaları, gösteri terminalleri vb. İçin ideal hale getirir.
Bununla birlikte, bu Amadey saldırısında, kiosk modu kullanıcı eylemlerini kısıtlamak ve bunları giriş sayfasıyla sınırlamak için istismar edilir ve tek belirgin seçim hesap kimlik bilgilerini girmektir.
Bu saldırı için kiosk modu https://accounts.google.com/servicelogin?service=Accountsettings&continue=https://myaccount.google.com/signinoptions/password, google için değiştirme şifresi url'ye karşılık gelen hesaplar.
Google, şifrenizi değiştirilmeden önce yeniden girmenizi gerektirdiğinden, kullanıcının istendiğinde şifrelerini tarayıcıya yeniden taahhüt etme ve potansiyel olarak kaydetme fırsatı sağlar.
Mağdurun sayfaya girdiği ve daha sonra istendiğinde tarayıcıya kaydedilen herhangi bir kimlik bilgileri, 2023'ün başlarında başlatılan hafif ve çok yönlü bir bilgi çalma olan STEALC tarafından çalınır.
Kendilerini Kiosk modunda kilitlenmenin talihsiz durumunda bulan kullanıcılar, ESC ve F11'in hiçbir şey yapmadığı, hayal kırıklıklarını kontrol altında tutmalı ve formlar hakkında hassas bilgiler girmekten kaçınmalıdır.
Bunun yerine, 'Alt + F4', 'Ctrl + Shift + ESC', 'Ctrl + Alt + Delete' ve 'Alt + sekmesi' gibi diğer hotkey kombinasyonlarını deneyin.
Bunlar, masaüstünü ön plana çıkarmaya, açık uygulamalarda döngüde bulunmaya ve tarayıcıyı sonlandırmak için görev yöneticisini başlatmaya yardımcı olabilir (son görev).
'Win tuşu + R' tuşuna basmak Windows komut istemini açmalıdır. 'CMD' yazın ve ardından 'TaskKill /IM Chrome.exe /F' ile Chrome'u öldürün.
Her şey başarısız olursa, bilgisayar kapanana kadar güç düğmesini basılı tutarak her zaman sert sıfırlama gerçekleştirebilirsiniz. Bu, kaydedilmemiş işlerin kaybedilmesine neden olabilir, ancak bu senaryo hala hesap kimlik bilgilerinin çalınmasından daha iyi olmalıdır.
Yeniden başlatılırken F8 tuşuna basın, Güvenli Mod'u seçin ve işletim sistemine geri döndükten sonra, kötü amaçlı yazılımları bulmak ve kaldırmak için tam bir antivirüs taraması çalıştırın. Spontan kiosk modu tarayıcı lansmanları normal değildir ve göz ardı edilmemelidir.
Facebook'ta sahte AI Editör Reklamları Şifre Çalma Kötü Yazılım
Google Reklamlar Sahte Google Authenticator Site Push Malweing Makence
Sahte Crowdtrike Onarım Kılavuzu Yeni Infostealer kötü amaçlı yazılımını iter
Qilin Fidye Yazılımları artık Chrome Tarayıcılardan Kimlik Bilgileri Çalıyor
Yeni CMoon USB Solucanı Rusları Veri Hırsızlığı Saldırılarında Hedefliyor
Kaynak: Bleeping Computer