Une campagne de logiciels malveillants utilise la méthode inhabituelle consistant à verrouiller les utilisateurs en mode kiosque de leur navigateur pour les empêcher de saisir leurs informations d’identification Google, qui sont ensuite volées par des logiciels malveillants voleurs d’informations.
Plus précisément, le logiciel malveillant » verrouille « le navigateur de l’utilisateur sur la page de connexion de Google sans moyen évident de fermer la fenêtre, car le logiciel malveillant bloque également les touches du clavier » ESC « et » F11″. L’objectif est de frustrer suffisamment l’utilisateur pour qu’il entre et enregistre ses informations d’identification Google dans le navigateur pour « déverrouiller » l’ordinateur.
Une fois les informations d’identification enregistrées, le malware de vol d’informations StealC les vole dans le magasin d’informations d’identification et les renvoie à l’attaquant.
Vol en mode kiosque
Selon les chercheurs d’OALABS qui ont découvert cette méthode d’attaque particulière, elle est utilisée dans la nature depuis au moins le 22 août 2024, principalement par Amadey, un chargeur de logiciels malveillants, un voleur d’informations et un outil de reconnaissance du système déployés pour la première fois par des pirates informatiques en 2018.
Une fois lancé, Amadey déploiera un script AutoIt qui agit comme videur d’informations d’identification, qui analyse la machine infectée à la recherche de navigateurs disponibles et en lance un en mode kiosque vers une URL spécifiée.
Le script définit également un paramètre ignore pour les touches F11 et Escape sur le navigateur de la victime, empêchant une évasion facile du mode kiosque.
Le mode kiosque est une configuration spéciale utilisée dans les navigateurs Web ou les applications pour s’exécuter en mode plein écran sans les éléments d’interface utilisateur standard tels que les barres d’outils, les barres d’adresses ou les boutons de navigation. Il est conçu pour limiter l’interaction de l’utilisateur à des fonctions spécifiques, ce qui le rend idéal pour les kiosques publics, les terminaux de démonstration, etc.
Dans cette attaque Amadey, cependant, le mode kiosque est abusé pour restreindre les actions des utilisateurs et les limiter à la page de connexion, le seul choix apparent étant d’entrer leurs informations d’identification de compte.
Pour cette attaque, le mode kiosque sera ouvert à https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, qui correspond à l’URL de changement de mot de passe pour les comptes Google.
Comme Google vous demande de saisir à nouveau votre mot de passe avant de pouvoir le modifier, cela permet à l’utilisateur de se réauthentifier et éventuellement d’enregistrer son mot de passe dans le navigateur lorsque vous y êtes invité.
Toutes les informations d’identification que la victime saisit sur la page puis enregistre dans le navigateur lorsqu’elle y est invitée sont volées par StealC, un voleur d’informations léger et polyvalent lancé début 2023.
Quitter le mode kiosque
Les utilisateurs qui se retrouvent dans la fâcheuse situation de se retrouver bloqués en mode kiosque, avec Esc et F11 ne faisant rien, doivent maîtriser leur frustration et éviter de saisir des informations sensibles sur les formulaires.
Au lieu de cela, essayez d’autres combinaisons de raccourcis clavier comme « Alt + F4 », « Ctrl + Maj + Échap », « Ctrl + Alt +Suppr » et « Alt +Tab ».’
Ceux-ci peuvent aider à mettre le bureau au premier plan, à parcourir les applications ouvertes et à lancer le Gestionnaire des tâches pour terminer le navigateur (Fin de tâche).
En appuyant sur ‘Touche Win + R’ devrait ouvrir l’invite de commande Windows. Tapez ‘ cmd ‘puis tuez Chrome avec’ taskkill / IM chrome.exe /F. »
Si tout le reste échoue, vous pouvez toujours effectuer une réinitialisation matérielle en maintenant le bouton d’alimentation enfoncé jusqu’à ce que l’ordinateur s’éteigne. Cela peut entraîner la perte de travail non enregistré, mais ce scénario devrait toujours être préférable au vol des informations d’identification du compte.
Lors du redémarrage, appuyez sur F8, sélectionnez le mode sans échec et, une fois de retour sur le système d’exploitation, exécutez une analyse antivirus complète pour localiser et supprimer le logiciel malveillant. Les lancements spontanés de navigateurs en mode kiosque ne sont pas normaux et ne doivent pas être ignorés.