Los ataques de malware utilizan una técnica inusual para bloquear a los usuarios en modo quiosco en sus navegadores y obligarlos a ingresar sus credenciales de Google, que luego son robadas por malware que roba información.
Específicamente, el malware “bloquea” el navegador del usuario en la página de inicio de sesión de Google, dejándolo sin una forma obvia de cerrar la ventana. El malware también bloquea las teclas “ESC” y “F11” del teclado. El objetivo es molestar a los usuarios para que ingresen y guarden las credenciales de Google en sus navegadores y “desbloqueen” sus computadoras.
Una vez que se guardan las credenciales, el malware que roba información StealC las roba del almacén de credenciales y las envía de vuelta al atacante.
Robo en modo quiosco
Según los investigadores de OALABS que descubrieron este método de ataque único, se ha utilizado desde al menos el 22 de agosto de 2024, principalmente por Amadey, una herramienta de carga de malware, robo de información y reconocimiento de sistemas implementada por primera vez por piratas informáticos en 2018. Se dice que se utiliza en un entorno real.
Cuando se inicia, Amadey implementa un script AutoIt que actúa como un eliminador de credenciales. Este script escanea la máquina infectada en busca de navegadores disponibles e inicia el navegador en modo quiosco en la URL especificada.
Parte del script que inicia Chrome o Edge en modo quiosco con la URL de inicio de sesión de Google
Fuente: OALABS
El script establece parámetros de ignorar en las teclas F11 y Escape del navegador de la víctima, impidiendo que salga fácilmente del modo quiosco.
Ignorar las pulsaciones de las teclas F11 y Esc
Fuente: OALABS
El modo quiosco es una configuración especial que se ejecuta en modo de pantalla completa en un navegador web o una aplicación, sin elementos estándar de la interfaz de usuario, como barras de herramientas, barras de direcciones o botones de navegación. Está diseñado para limitar la interacción del usuario a funciones específicas, lo que lo hace ideal para quioscos públicos, terminales de demostración, etc.
Sin embargo, este ataque de Amadey explota el modo quiosco, restringiendo la interacción del usuario a una página de inicio de sesión donde ingresar las credenciales de la cuenta parece ser la única opción.
Este ataque abre el modo quiosco en https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password. Esto equivale a la URL de cambio de contraseña de su cuenta de Google.
Google requiere que vuelvas a ingresar tu contraseña antes de cambiarla, para que los usuarios puedan volver a autenticarse cuando se les solicite y guardar su contraseña en su navegador.
Lo que la víctima ve en la computadora
Fuente: OALABS
Todas las credenciales que las víctimas ingresan en las páginas y guardan en sus navegadores cuando se les solicita son robadas por StealC, un malware de robo de información liviano y versátil lanzado a principios de 2023.
Salir del modo quiosco
Los usuarios que se encuentran en la desafortunada situación de quedar bloqueados en modo quiosco cuando presionan Esc y F11 no hacen nada deben intentar reprimir su frustración y evitar ingresar información confidencial en los formularios.
En su lugar, pruebe otras combinaciones de teclas de acceso rápido como “Alt + F4”, “Ctrl + Shift + Esc”, “Ctrl + Alt + Eliminar”, “Alt + Tab”.
Estos le ayudan a poner el escritorio en primer plano, cambiar entre aplicaciones abiertas, iniciar el Administrador de tareas y cerrar el navegador (finalizar tareas).
Presione la “tecla Win + R” para abrir el símbolo del sistema de Windows. Escribe “cmd” y sal de Chrome con “taskkill /IM chrome.exe /F”.
Si todo lo demás falla, siempre puedes realizar un reinicio completo manteniendo presionado el botón de encendido hasta que la computadora se apague. Esto puede provocar la pérdida del trabajo no guardado, pero es mejor que que le roben las credenciales de su cuenta.
Seleccione Modo seguro presionando F8 durante el reinicio y, una vez que regrese al sistema operativo, ejecute un análisis antivirus completo para buscar y eliminar malware. No es normal que el navegador en modo quiosco se inicie inesperadamente, así que no lo ignores.
https://www.bleepingcomputer.com/news/security/malware-locks-browser-in-kiosk-mode-to-steal-google-credentials/
