Kötü amaçlı yazılım kampanyası, kullanıcıları Google kimlik bilgilerini girmeye zorlamak için tarayıcılarının kiosk modunda kilitleme gibi alışılmadık bir yöntem kullanıyor ve daha sonra bu bilgiler bilgi çalan kötü amaçlı yazılım tarafından çalınıyor.
Özellikle, kötü amaçlı yazılım, pencereyi kapatmanın belirgin bir yolu olmadan kullanıcının tarayıcısını Google’ın oturum açma sayfasında “kilitliyor”, çünkü kötü amaçlı yazılım ayrıca “ESC” ve “F11” klavye tuşlarını da engelliyor. Amaç, kullanıcıyı o kadar sinirlendirmek ki, bilgisayarı “kilidini açmak” için Google kimlik bilgilerini tarayıcıya girip kaydetmesini sağlamak.
Kimlik bilgileri kaydedildikten sonra, StealC bilgi çalma kötü amaçlı yazılımı bunları kimlik bilgisi deposundan çalar ve saldırgana geri gönderir.
Kiosk modu hırsızlığı
Bu tuhaf saldırı yöntemini ortaya çıkaran OALABS araştırmacılarına göre, bu yöntem en az 22 Ağustos 2024’ten bu yana yaygın olarak kullanılıyor ve çoğunlukla 2018’de bilgisayar korsanları tarafından ilk kez kullanılan bir kötü amaçlı yazılım yükleyici, bilgi hırsızı ve sistem keşif aracı olan Amadey tarafından kullanılıyor.
Amadey başlatıldığında, enfekte olmuş makineyi kullanılabilir tarayıcılar için tarayan ve belirtilen bir URL’ye kiosk modunda bir tarayıcı başlatan kimlik bilgilerini temizleyen bir AutoIt betiği dağıtacak.
Kaynak: OALABS
Komut dosyası ayrıca kurbanın tarayıcısındaki F11 ve Escape tuşları için bir yok sayma parametresi ayarlayarak, kiosk modundan kolayca çıkılmasını engelliyor.
Kaynak: OALABS
Kiosk modu, web tarayıcılarında veya uygulamalarda araç çubukları, adres çubukları veya gezinme düğmeleri gibi standart kullanıcı arayüzü öğeleri olmadan tam ekran modunda çalışmak için kullanılan özel bir yapılandırmadır. Kullanıcı etkileşimini belirli işlevlerle sınırlamak için tasarlanmıştır ve bu da onu genel kiosklar, gösteri terminalleri vb. için ideal hale getirir.
Ancak bu Amadey saldırısında, kiosk modu kötüye kullanılarak kullanıcı eylemleri kısıtlanıyor ve yalnızca oturum açma sayfasıyla sınırlı kalıyor; görünen o ki tek seçenek hesap bilgilerini girmek.
Bu saldırı için https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password adresine, Google hesapları için şifre değiştirme URL’sine karşılık gelen kiosk modu açılacak.
Google, şifrenizi değiştirebilmeniz için yeniden girmenizi gerektirdiğinden, kullanıcıya istendiğinde yeniden kimlik doğrulaması yapma ve şifresini tarayıcıda kaydetme fırsatı sunar.
Kaynak: OALABS
Kurbanın sayfada girdiği ve istendiğinde tarayıcıya kaydettiği tüm kimlik bilgileri, 2023’ün başlarında piyasaya sürülen hafif ve çok yönlü bir bilgi hırsızı olan StealC tarafından çalınıyor.
Kiosk modundan çıkış
Kiosk modunda kilitli kalıp Esc ve F11 tuşlarına basamama gibi talihsiz bir durumla karşılaşan kullanıcılar, hayal kırıklıklarını kontrol altında tutmalı ve formlara hassas bilgiler girmekten kaçınmalıdır.
Bunun yerine ‘Alt + F4’, ‘Ctrl + Shift + Esc’, ‘Ctrl + Alt +Delete’ ve ‘Alt + Tab’ gibi diğer kısayol tuş kombinasyonlarını deneyin.
Bunlar masaüstünü ön plana getirmeye, açık uygulamalar arasında geçiş yapmaya ve tarayıcıyı sonlandırmak için Görev Yöneticisi’ni başlatmaya (Görevi Sonlandır) yardımcı olabilir.
‘Win Key + R’ tuşlarına basmak Windows komut istemini açmalıdır. ‘cmd’ yazın ve ardından ‘taskkill /IM chrome.exe /F’ ile Chrome’u sonlandırın.
Tüm bunlar başarısız olursa, bilgisayar kapanana kadar Güç düğmesini basılı tutarak her zaman sert sıfırlama yapabilirsiniz. Bu, kaydedilmemiş işlerin kaybolmasına neden olabilir, ancak bu senaryo yine de hesap kimlik bilgilerinin çalınmasından daha iyi olmalıdır.
Yeniden başlatırken F8 tuşuna basın, Güvenli Mod’u seçin ve işletim sistemine geri döndüğünüzde kötü amaçlı yazılımı bulup kaldırmak için tam bir antivirüs taraması çalıştırın. Kendiliğinden kiosk modu tarayıcı başlatmaları normal değildir ve göz ardı edilmemelidir.