Исследователи обнаружили вредоносную программу, которая заманивает пользователей в киоск-режим браузера, чтобы украсть учетные данные Google.
Кампания, впервые замеченная 22 августа 2024 года, использует загрузчик Amadey для развертывания StealC, вредоносной программы для кражи информации. Вредоносная программа блокирует браузер в режиме киоска на странице входа в Google, отключая клавиши «ESC» и «F11» для предотвращения выхода. Разочарованные пользователи могут ввести свои учетные данные, которые затем похищаются StealC из хранилища учетных данных браузера.
Режим киоска обычно представляет собой полноэкранную конфигурацию, предназначенную для общественных терминалов, чтобы ограничить взаимодействие с пользователем, но в данном случае он используется не по назначению, делая страницу входа неизбежной. Вредоносная программа использует AutoIt-скрипт «Credential Flusher» для запуска браузера в режиме киоска. Чтобы избежать этого, пользователи могут воспользоваться альтернативными горячими клавишами или выполнить жесткий сброс.
Indicators of Compromise
URLs
- http://31.41.244.11/steam/random.exe
- http://31.41.244.11/well/random.exe
SHA256
- 0ec952da5d48ceb59202823d7549139eb024b55d93c2eaf98ca6fa99210b4608
- 53aeb2fd2ee3a30d29afce4d852e4b33e96b0c473240691d6d63796caa3016f2
- 78f4bcd5439f72e13af6e96ac3722fee9e5373dae844da088226158c9e81a078
- 99e3eaac03d77c6b24ebd5a17326ba051788d58f1f1d4aa6871310419a85d8af
- b119eb3e182224d5399b12f7f106ffd27a0f12dd418a64aa23425000adbc44de
