Hackeri škodlivého softvéru StealC nútia používateľov prehliadača Chrome odhaliť svoje heslo Google
Aktualizácia, sept. 16, 2024: Tento príbeh, pôvodne publikovaný 15. septembra, teraz obsahuje podrobnosti o ďalšej novej hrozbe kradnutia poverení zameranej na používateľov prehliadača Chrome.
Nedávno zverejnený výskum odhalil, ako aktéri hrozieb používajú novú úskočnú techniku, aby prinútili používateľov prehliadača Chrome odhaliť svoje heslá účtu Google. Kampaň na kradnutie poverení využívajúca malvér s názvom StealC uzamkne prehliadač používateľa do režimu verejného terminálu a zároveň zabráni klávesom F11 a ESC v úniku z tohto režimu celej obrazovky. Jediná vec, ktorá sa zobrazuje na obrazovke prehliadača v tomto nepríjemnom a zdanlivo nevyhnutnom režime kiosku, je prihlasovacie okno, často pre váš účet Google, uvádzajú výskumníci.
Tu je návod, ako hackeri používajú nepríjemnú novú techniku na ukradnutie hesiel účtov Google
Aktéri hrozieb použili mnoho metód na získanie prístupu k vzácnym účtom Google, kľúčom k vašej schránke Gmail a bezpečnostným trezorom v nej alebo k heslu vašej kryptopeňaženky. Nedávno sme videli malvér, ktorý využíva optické rozpoznávanie znakov na získanie kryptografických hesiel, a malvér, ktorý sa zameriava na dvojfaktorové overovacie kódy, napríklad oklamaním používateľov, aby čítali SMS správy. Teraz je však v meste nový hráč menom StealC, ktorý používa jednoduchú a vysoko efektívnu metódu získania prístupu k povereniam účtu Google: otravuje obeťou.
Výskumníci z Open Analytics Labs odhalili, ako táto technika využívala túto techniku prinajmenšom od 22. augusta. AnalýzaVýskumníci OALabs potvrdili, že hackeri nútia obeť, aby zadala svoje prihlasovacie údaje do prehliadača, a potom ich malvér ukradne. „Technika zahŕňa spustenie prehliadača obete v režime kiosku a navigáciu na prihlasovaciu stránku cieľovej služby, zvyčajne Google,“ uviedli vedci. Keďže režim Kiosk je celoobrazovkové nasadenie prehliadača, ktoré bráni obeti opustiť ho alebo zatvoriť aplikáciu, nešťastníci majú len jednu možnosť, ako sa zaseknúť týmto spôsobom: prihlasovacie okno účtu Google.
Google Account Credential Flusher nie je zlodejom poverení
Zaujímavé je, že splachovač poverení v skutočnosti nie je zlodejom poverení. Namiesto toho využíva pákový efekt na prinútenie frustrovanej obete, aby sama zadala prihlasovacie údaje k účtu. Keď to urobia, štandardný malvér na krádež poverení, v tomto prípade StealC, získa heslá z úložiska poverení prehliadača Chrome a zaradí ich do frontu, aby ich dal útočníkom. V skutočnosti je celá kampaň možná len pomocou rôznych známych prvkov. Malvér načítava predovšetkým hackerský nástroj Amade, ktorý sa používa najmenej šesť rokov. Výskumníci OALabs sú partnerom v oblasti spravodajstva o úverových hrozbách Loader Insight Agency Tým, že pomôžete zmapovať typickú mapu útoku:
- Obeť je infikovaná Amadeim.
- Amadey StealC načíta malvér.
- Amadey nabije splachovač poverení.
- Credential Flasher spustí prehliadač v režime kiosku.
- Obeť zadá svoje prihlasovacie údaje a tie sú následne odcudzené škodlivým softvérom StealC.
Nový útok Trigmo bol zaznamenaný pomocou falošných prihlasovacích obrazoviek a zachytávača 2FA kódov
Ak kampaň na krádež poverení StealC nestačila, zdá sa, že používatelia prehliadača Chrome sa musia obávať ďalšej hrozby krádeže poverení. Identifikovali to výskumníci so špecialistami na odhaľovanie podvodov Clefiho tímom pre spravodajstvo o hrozbách Nový variant známeho bankového trójskeho koňa s názvom Trigmo Teraz je to aplikácia webového prehliadača Google Chrome pre Android. Po nainštalovaní nečestnej aplikácie sa obeti zobrazí upozornenie na aktualizáciu na Google Play a dialógové okno s potvrdzovacím tlačidlom. V skutočnosti nainštaluje ďalšiu aplikáciu s názvom Služby Google, ktorá vyžaduje povolenia používateľa. Užitočne vedie používateľa aplikáciou a nasmeruje ho na aktiváciu služieb dostupnosti pre aplikáciu. Po dokončení poskytuje útočníkom zvýšené povolenia potrebné na zachytenie SMS správ a dvojfaktorové overovacie jednorazové kódy poskytnuté týmto spôsobom. Trigmo tiež používa útok prekrytia HTML, ktorý v podstate zobrazuje skutočnú obrazovku podobnú prihláseniu na zachytenie poverení účtu.
Aby sa predišlo detekcii pomocou funkcií detekcie škodlivého softvéru prehliadača a zariadenia, nový variant Trigmo používa techniku falošných archívnych súborov zip vrátane adresárov pomenovaných ako dôležité systémové súbory. „Táto šikovná stratégia zahmlievania by mohla spôsobiť operáciu rozbalenia, ktorá by prepísala tieto citlivé súbory, čo by mohlo brániť následnej analýze,“ uviedli vedci, čo sťažuje automatizované analytické nástroje používané kybernetickou strážou na preskúmanie obsahu súboru. „Nesprávne nastavenie môže viesť k chybám alebo neúplným extrakciám, čo výrazne skomplikuje proces analýzy.“
Ako zmierniť útoky v režime Kiosk a Trigmo útoky
Aj keď sa to môže zdať ako niečo ako sizyfovská úloha, stále je možné ukončiť režim kiosku bez prístupu k zreteľnejším klávesom ESC alebo F11 na klávesnici. Pípajúci počítač radí.
Používateľom sa odporúča, aby vyskúšali kombinácie klávesových skratiek Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete a Alt + Tab, aby prešli na pracovnú plochu a spustili správcu úloh, aby zabili prehliadač Chrome. cesta Bleeping Computer odporúča použiť kombináciu Win Key + R na otvorenie príkazového riadka systému Windows, ktorý môže Chrome zabiť pomocou „taskkill /IM chrome.exe /F“.
Nakoniec je tu jadrová možnosť vypnutia tlačidla napájania. Ak použijete tento prístup, spustite systém v núdzovom režime pomocou klávesu F8 a vykonajte úplnú kontrolu systému, aby ste zabránili opätovnému výskytu infekcie škodlivým softvérom. Malwarebytes má bezplatný skener škodlivého softvéru Tento systém pomáha pri čistení.
Pri zmierňovaní útoku pomocou najnovšieho variantu Trigmo je rada jednoduchá a často sa opakuje: nesťahujte softvér pre Android z iného zdroja ako z oficiálneho obchodu Play.
Popová kultúra. Nie je možné písať so zapnutými boxerskými rukavicami. Zlý hráč. Unapologetická hudba fanatická.“
