Malware bloquea el navegador en modo quiosco para robar credenciales de Google

Iniciado por AXCESS, Septiembre 14, 2024, 06:14:44 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una campaña de malware utiliza el inusual método de bloquear a los usuarios en el modo quiosco de su navegador para molestarlos y obligarlos a ingresar sus credenciales de Google, que luego son robadas por un malware.

En concreto, el malware "bloquea" el navegador del usuario en la página de inicio de sesión de Google sin ninguna forma evidente de cerrar la ventana, ya que el malware también bloquea las teclas "ESC" y "F11" del teclado. El objetivo es frustrar al usuario lo suficiente para que ingrese y guarde sus credenciales de Google en el navegador para "desbloquear" el equipo.

Una vez que se guardan las credenciales, el malware que roba información StealC las roba del almacén de credenciales y las envía de vuelta al atacante.

Robo en modo quiosco

Según los investigadores de OALABS que descubrieron este peculiar método de ataque, se ha utilizado de forma activa desde al menos el 22 de agosto de 2024, principalmente por Amadey, un cargador de malware, ladrón de información y herramienta de reconocimiento del sistema que los piratas informáticos implementaron por primera vez en 2018.

Cuando se lanza, Amadey implementa un script de AutoIt que actúa como limpiador de credenciales, que escanea la máquina infectada en busca de navegadores disponibles y lanza uno en modo quiosco en una URL específica.

Parte del script que inicia Chrome o Edge en modo quiosco, en una URL de inicio de sesión de Google
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El script también establece un parámetro de ignoración para las teclas F11 y Escape en el navegador de la víctima, lo que impide un escape fácil del modo quiosco.

Ignorar las pulsaciones de las teclas F11 y Esc
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El modo quiosco es una configuración especial que se utiliza en los navegadores web o las aplicaciones para ejecutarse en modo de pantalla completa sin los elementos estándar de la interfaz de usuario, como barras de herramientas, barras de direcciones o botones de navegación. Está diseñado para limitar la interacción del usuario a funciones específicas, lo que lo hace ideal para quioscos públicos, terminales de demostración, etc.

Sin embargo, en este ataque de Amadey, se abusa del modo quiosco para restringir las acciones del usuario y limitarlas a la página de inicio de sesión, con la única opción aparente de ingresar las credenciales de su cuenta.

Para este ataque, el modo quiosco se abrirá en:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que corresponde a la URL de cambio de contraseña para las cuentas de Google.

Como Google requiere que vuelva a ingresar su contraseña antes de poder cambiarla, brinda una oportunidad para que el usuario se vuelva a autenticar y potencialmente guarde su contraseña en el navegador cuando se le solicite.

Lo que la víctima ve en su computadora
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

StealC, un stealer ligero y versátil lanzado a principios de 2023, roba todas las credenciales que la víctima introduce en la página y luego guarda en el navegador cuando se le solicita.

Salir del modo quiosco

Los usuarios que se encuentren en la desafortunada situación de quedarse bloqueados en el modo quiosco, sin que Esc y F11 hagan nada, deben controlar su frustración y evitar ingresar información confidencial en los formularios.

En su lugar, pruebe otras combinaciones de teclas de acceso rápido como 'Alt + F4', 'Ctrl + Shift + Esc', 'Ctrl + Alt + Delete' y 'Alt + Tab'.

Estas pueden ayudar a poner el escritorio en primer plano, recorrer las aplicaciones abiertas e iniciar el Administrador de tareas para cerrar el navegador (Finalizar tarea).

Al presionar 'Tecla Windows + R' se debería abrir el símbolo del sistema de Windows. Escriba 'cmd' y luego cierre Chrome con 'taskkill /IM chrome.exe /F'.

Si todo lo demás falla, siempre puedes realizar un reinicio completo manteniendo presionado el botón de encendido hasta que la computadora se apague. Esto puede provocar la pérdida de trabajos no guardados, pero esta situación debería ser mejor que el robo de credenciales de la cuenta.

Al reiniciar, presiona F8, selecciona Modo seguro y, una vez que estés nuevamente en el sistema operativo, ejecuta un análisis antivirus completo para localizar y eliminar el malware. Los inicios espontáneos del navegador en modo quiosco no son normales y no deben ignorarse.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta