Uma campanha de malware emprega uma tática incomum de prender os usuários no modo quiosque do navegador, pressionando-os a inserir suas credenciais do Google, que são posteriormente roubadas por malware de roubo de informações.
O malware bloqueia o navegador do usuário na página de login do Google, desabilitando as teclas “ESC” e “F11” para impedir o fechamento da janela. Essa tática visa frustrar o usuário a salvar suas credenciais do Google no navegador, acreditando que isso “desbloqueará” seu computador.
Depois que as credenciais são salvas, o malware de roubo de informações StealC as extrai do armazenamento de credenciais e as transmite ao invasor.
Roubo no modo quiosque
Pesquisadores do OALABS, que descobriram esse método de ataque incomum, relatam que ele está ativo na natureza desde pelo menos 22 de agosto de 2024. O ataque é realizado principalmente pelo Amadey, um carregador de malware, ladrão de informações e ferramenta de reconhecimento de sistema inicialmente implantado por hackers em 2018.
Quando executado, o Amadey implanta um script AutoIt que funciona como um limpador de credenciais. O script verifica o sistema infectado em busca de navegadores e inicia um no modo quiosque para uma URL específica.
Parte do script que inicia o Chrome ou Edge no modo quiosque, em uma URL de login do Google
Fonte: OALABS
Além disso, o script desabilita as teclas F11 e Escape no navegador, impedindo que o usuário saia facilmente do modo quiosque.
Ignorando pressionamentos das teclas F11 e Esc
Fonte: OALABS
O modo quiosque, normalmente usado em navegadores da web ou aplicativos para exibir conteúdo em tela cheia sem elementos de IU padrão, como barras de ferramentas ou botões de navegação, tem como objetivo limitar as interações do usuário, tornando-o ideal para terminais públicos e exibições de demonstração.
Neste caso, no entanto, a Amadey explora o modo quiosque para prender os usuários em uma página de login, com a única opção visível sendo inserir suas credenciais de conta.
O navegador é direcionado para https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, a URL de alteração de senha para contas do Google.
Como o Google exige que os usuários insiram novamente suas senhas antes de qualquer alteração, o ataque cria uma oportunidade para os usuários se autenticarem novamente e potencialmente salvarem suas credenciais no navegador quando solicitado.
O que a vítima vê no computador
Fonte: OALABS
Todas as credenciais inseridas e salvas são roubadas pelo StealC, um malware leve e versátil para roubo de informações lançado no início de 2023.
Saindo do modo quiosque
Se você estiver bloqueado no modo quiosque com as teclas Esc e F11 sem resposta, é importante manter a calma e evitar inserir informações confidenciais em formulários.
Em vez disso, tente combinações alternativas de teclas de atalho, como ‘Alt + F4,’ ‘Ctrl + Shift + Esc,’ ‘Ctrl + Alt + Delete,’ ou ‘Alt + Tab.’
Esses atalhos podem ajudar a trazer a área de trabalho para o primeiro plano, alternar entre aplicativos abertos ou iniciar o Gerenciador de Tarefas para encerrar o navegador (Finalizar Tarefa).
Você também pode tentar pressionar ‘Tecla Win + R‘ para abrir a caixa de diálogo Executar. A partir daí, digite ‘cmd’ para abrir o prompt de comando e use o comando ‘taskkill /IM chrome.exe /F’ para forçar o fechamento do Chrome.
Se esses métodos falharem, executar uma reinicialização forçada segurando o botão Liga/Desliga até que o computador desligue é uma opção. Embora o trabalho não salvo possa ser perdido, é preferível a ter suas credenciais de conta comprometidas.
Após a reinicialização, pressione F8 para entrar no Modo de Segurança e, quando estiver de volta ao sistema operacional, execute uma verificação antivírus completa para detectar e remover o malware. O comportamento inesperado do navegador no modo quiosque é um sinal de alerta e não deve ser ignorado.
Fonte: BleepingComputer, Bill Toulas
