TechSpot significa análise e aconselhamento de tecnologia em que você pode confiar .
Em poucas palavras: Pesquisadores de segurança descobriram um novo método de phishing, que usa o modo quiosque em navegadores para roubar credenciais. A técnica prende os usuários em uma página de login em tela cheia (o login do Google é o mais comum) sem opção a não ser inserir seus detalhes. Eles então usam um ladrão de credenciais para obter as informações.
Especialistas em segurança cibernética da OALabs descobriram um novo vetor de ataque para roubar credenciais. O método exclusivo envolve iniciar o navegador do usuário no modo quiosque para uma página de login (geralmente Google). O modo quiosque é útil para isolar um sistema para executar aplicativos específicos. Um caixa eletrônico é um exemplo familiar.
Como o modo quiosque executa um aplicativo em tela cheia, não há nenhuma maneira aparente de sair do programa além de pressionar F11 para sair da tela cheia. Infelizmente, o malware desabilita as teclas de função. Sem saída do navegador, a única opção disponível para os usuários é digitar seu nome de usuário e senha, que são imediatamente roubados pelo malware. Um ladrão de credenciais chamado "StealC" é o mais comum.
O StealC permite que invasores extraiam dados do armazenamento de credenciais do navegador. O OALabs identificou esse método de ataque pela primeira vez em 22 de agosto de 2024 e o apelidou de "Credential Flusher". A Loader Insight Agency observa que esse método é frequentemente implantado pela botnet Amadey ao distribuir o StealC.
Esta é uma nova técnica de roubo ou apenas algo que está passando despercebido?
- Abra o navegador no modo quiosque (sem escapatória)
- Force o usuário a inserir credenciais do Google
- Roube-os do navegador!
cc @unpacme @LIA_Intel https://t.co/heLbiNo8y5
Uma vez que os hackers têm as credenciais, eles geralmente mudam a senha do Google dos alvos, o que os bloqueia de todos os serviços do Google, como Gmail e Google Docs. As vítimas também perderão o acesso a qualquer site de terceiros que configuraram usando o recurso Entrar com o Google.
Os pesquisadores enfatizam que o Credential Flusher não é um ladrão de credenciais por si só.
Ele é usado simplesmente para pressionar a vítima a inserir suas credenciais, por isso deve ser usado em conjunto com um ladrão.
- Primeiro, a vítima é infectada com Amadey [malware de implantação de carga útil].
- Amadey é então usado para carregar StealC.
- Amadey então carrega o Credential Flusher.
- O Credential Flusher então inicia o navegador no modo quiosque para forçar a vítima a inserir suas credenciais, que podem ser roubadas pelo StealC.
Os white hats também dizem que só viram essa técnica sendo usada com o Chrome. No entanto, outros navegadores têm recursos semelhantes ao modo quiosque, então é possível ajustar o ataque para usar algo diferente do navegador do Google.
Felizmente, o Credential Flusher tem algumas falhas que o tornam menos ameaçador. Primeiro, ser jogado no modo quiosque ao abrir o Chrome deve levantar todos os tipos de bandeiras vermelhas com todos, exceto os muito ingênuos ou inexperientes. Simplesmente não é um comportamento normal. Segundo, embora o malware possa desabilitar as teclas de função, poucas coisas podem resistir ao bom e velho ctrl+alt+delete. Usando esta relíquia do Windows, os usuários podem reiniciar o PC ou usar o Gerenciador de Tarefas para desligar o Chrome.
No entanto, a mitigação mais eficaz é simplesmente não baixar aplicativos suspeitos. A maioria, mas não todas as instalações de malware exigem ação do usuário. Não toque nele se você não sabe o que é ou de onde se originou. Parece óbvio, mas ainda assim, muitas pessoas caem em malware disfarçado de aplicativo útil.
Comentários