تستخدم حملة البرامج الضارة أسلوبًا غير عادي يتمثل في قفل المستخدمين في وضع الكشك الخاص بمتصفحاتهم لإزعاجهم وإجبارهم على إدخال بيانات اعتماد Google الخاصة بهم، والتي تتم سرقتها بعد ذلك بواسطة برامج ضارة تسرق المعلومات.
على وجه التحديد، البرمجيات الخبيثة “locks”متصفح المستخدم على صفحة تسجيل الدخول الخاصة بـ Google دون وجود طريقة واضحة لإغلاق النافذة، حيث يقوم البرنامج الضار أيضًا بحظر “ESC”و “F11” مفاتيح لوحة المفاتيح. والهدف هو إحباط المستخدم بدرجة كافية لإدخال بيانات اعتماد Google وحفظها في المتصفح “unlock”الكمبيوتر.
بمجرد حفظ بيانات الاعتماد، يقوم برنامج سرقة المعلومات StealC بسرقتها من مخزن بيانات الاعتماد ويرسلها مرة أخرى إلى المهاجم.
سرقة وضع الكشك
وفق”https://research.openanalysis.net/credflusher/kiosk/stealer/stealc/amadey/autoit/2024/09/11/cred-flusher.html” الهدف=”_blank” rel=”nofollow noopener”>باحثو OALABS من اكتشف طريقة الهجوم الغريبة هذه، فقد تم استخدامها في البرية منذ 22 أغسطس 2024 على الأقل، بشكل أساسي من قبل”https://www.bleepingcomputer.com/news/security/amadey-malware-pushed-via-software-cracks-in-smokeloader-campaign/” الهدف=”_blank”>أمادي، أداة تحميل البرامج الضارة وسرقة المعلومات واستطلاع النظام التي استخدمها المتسللون لأول مرة في عام 2018.
عند إطلاقه، سيقوم Amadey بنشر برنامج نصي AutoIt يعمل كمنظف لبيانات الاعتماد، والذي يقوم بمسح الجهاز المصاب بحثًا عن المتصفحات المتاحة ويطلق أحدها في وضع الكشك إلى عنوان URL محدد.
المصدر: OALABS
يقوم البرنامج النصي أيضًا بتعيين معلمة تجاهل لمفتاحي F11 وEscape على متصفح الضحية، مما يمنع الهروب بسهولة من وضع الكشك.
المصدر: OALABS
وضع الكشك هو تكوين خاص يستخدم في متصفحات الويب أو التطبيقات لتشغيلها في وضع ملء الشاشة دون عناصر واجهة المستخدم القياسية مثل أشرطة الأدوات أو أشرطة العناوين أو أزرار التنقل. وهو مصمم للحد من تفاعل المستخدم مع وظائف محددة، مما يجعله مثاليًا للأكشاك العامة ومحطات العرض التوضيحي وما إلى ذلك.
في هجوم Amadey هذا، على الرغم من ذلك، يتم إساءة استخدام وضع الكشك لتقييد تصرفات المستخدم وحصرها في صفحة تسجيل الدخول، مع كون الخيار الواضح الوحيد هو إدخال بيانات اعتماد حسابهم.
بالنسبة لهذا الهجوم، سيتم فتح وضع الكشك على https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password، والذي يتوافق مع عنوان URL لتغيير كلمة المرور لحسابات Google.
نظرًا لأن Google تتطلب منك إعادة إدخال كلمة المرور الخاصة بك قبل أن تتمكن من تغييرها، فإنها توفر للمستخدم فرصة إعادة المصادقة وحفظ كلمة المرور الخاصة به في المتصفح عند المطالبة بذلك.
المصدر: OALABS
يتم سرقة أي بيانات اعتماد يدخلها الضحية على الصفحة ثم يحفظها في المتصفح عند المطالبة بذلك بواسطة StealC، وهو برنامج سرقة معلومات خفيف الوزن ومتعدد الاستخدامات”https://www.bleepingcomputer.com/news/security/new-stealc-malware-emerges-with-a-wide-set-of-stealing-capabilities/” الهدف=”_blank”> تم إطلاقه في أوائل عام 2023.
الخروج من وضع الكشك
يجب على المستخدمين الذين يجدون أنفسهم في موقف مؤسف حيث يتم قفلهم في وضع الكشك، مع عدم قيام Esc وF11 بأي شيء، أن يسيطروا على إحباطهم وتجنب إدخال أي معلومات حساسة في النماذج.
بدلاً من ذلك، جرّب مجموعات مفاتيح الاختصار الأخرى مثل “Alt + F4″، “Ctrl + Shift + Esc”، “Ctrl + Alt +Delete”، و”Alt + Tab”.
قد تساعد هذه الأشياء في جلب سطح المكتب إلى المقدمة، والتنقل بين التطبيقات المفتوحة، وتشغيل “إدارة المهام” لإنهاء المتصفح (إنهاء المهمة).
الضغط على مفتاح “Win + R” من شأنه أن يفتح موجه أوامر Windows. اكتب “cmd” ثم أغلق Chrome باستخدام “taskkill /IM chrome.exe /F”.
إذا فشلت كل الحلول الأخرى، يمكنك دائمًا إجراء إعادة ضبط كاملة من خلال الضغط على زر الطاقة حتى يتم إيقاف تشغيل الكمبيوتر. قد يؤدي هذا إلى فقدان العمل غير المحفوظ، ولكن هذا السيناريو لا يزال أفضل من سرقة بيانات اعتماد الحساب.
عند إعادة التشغيل، اضغط على F8، وحدد الوضع الآمن، وبمجرد العودة إلى نظام التشغيل، قم بتشغيل فحص كامل لمكافحة الفيروسات لتحديد البرامج الضارة وإزالتها. إن عمليات التشغيل التلقائية للمتصفح في وضع الكشك ليست طبيعية ولا ينبغي تجاهلها.