Google Chrome оказался под угрозой распространения вредоносных расширений, однако это не единственная опасность, с которой могут столкнуться пользователи. Особую осторожность следует проявлять в отношении кампаний, направленных на кражу учетных данных Google, включая пароли от аккаунтов.
Недавно хакеры начали использовать вредоносное ПО под названием StealC, которое переводит браузер Chrome в режим киоска и отключает функциональные клавиши F11 и ESC, фактически блокируя пользователя в полноэкранном режиме. Эта атака направлена на то, чтобы заставить жертву ввести свои учетные данные Google, которые затем перехватываются злоумышленниками.
Взлом через режим киоска в Chrome
Режим киоска в Chrome стал новым инструментом в руках хакеров, которые разработали сложные методы для захвата аккаунтов Google. Эти аккаунты часто предоставляют доступ к ключевой информации, такой как электронная почта и данные банковских карт. Ранее злоумышленники использовали программы, использующие OCR (оптическое распознавание символов) для кражи криптовалютных паролей, а также перехватывали коды двухфакторной аутентификации, обманывая пользователей для получения разрешений на чтение SMS.
Сейчас новая угроза исходит от StealC, который применяет более прямолинейную тактику, чтобы вынудить пользователя раскрыть свои данные.
Кампания StealC по кражам учетных данных
Исследователи из Open Analysis Lab (OALabs) обнаружили, что начиная с 22 августа хакеры активно используют StealC для того, чтобы обманным путем заставить пользователей ввести свои учетные данные Google.
Атака начинается с того, что браузер Chrome на компьютере жертвы запускается в режиме киоска, отображая только окно для входа в аккаунт Google
vpnРоссия
Поскольку режим киоска блокирует доступ к другим функциям системы и полностью занимает экран, жертве остается лишь ввести свои учетные данные, не подозревая, что они будут украдены.
Тактика сбора учетных данных StealC
В отличие от традиционного вредоносного ПО, StealC не ворует данные напрямую. Он вынуждает пользователя добровольно вводить информацию, а затем извлекает эти данные из хранилища браузера Chrome и передает их хакерам.
Эта атака сочетает несколько известных элементов, в том числе инструмент взлома Amadey, который активно используется на протяжении шести лет.
Как проходит типичная атака:
- Система жертвы заражается вредоносным ПО Amadey.
- Amadey разворачивает вредоносное ПО StealC.
- StealC запускает механизм для сбора учетных данных.
- Этот механизм переводит браузер в режим киоска.
- Жертва вводит свои учетные данные, которые затем перехватываются StealC.
Такая схема позволяет хакерам эффективно получать доступ к конфиденциальной информации, используя простой, но действенный психологический трюк, заставляя пользователей вводить свои данные в условиях ограниченного доступа к системе.
TrickMo: Новая угроза для Android с использованием поддельных экранов Google
На фоне угрозы от вредоносного ПО StealC, эксперты по безопасности выявили новую версию банковского трояна TrickMo, нацеленного на пользователей Chrome на Android.
TrickMo маскируется под приложение Google Chrome и обманывает пользователей, заставляя их установить вредоносную программу, якобы необходимую для обновления Google Play. После этого приложение требует активации разрешений для программы под названием «Google Services», что позволяет злоумышленникам получить доступ к SMS-сообщениям и кодам двухфакторной аутентификации (2FA).
Троян использует атаку через HTML-оверлеи, отображая поддельные экраны входа, которые практически неотличимы от легитимных. TrickMo также применяет специально сформированные ZIP-архивы для обхода систем обнаружения вредоносного ПО, что усложняет анализ и выявление угрозы современными средствами кибербезопасности.
Способы защиты от атак через режим киоска и вредоносного ПО TrickMo
Хотя атаки через режим киоска выглядят сложными, есть несколько методов выхода из него без использования клавиш ESC или F11. Согласно рекомендациям от Bleeping Computer, можно использовать комбинации горячих клавиш, такие как Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete или Alt + Tab. Эти действия могут вернуть пользователя на рабочий стол, где можно открыть диспетчер задач и завершить процесс Chrome.
Другим вариантом является использование сочетания клавиш Win + R для открытия командной строки и завершения процесса Chrome через команду taskkill /IM chrome.exe /F.
Если эти методы не сработали, может потребоваться принудительное выключение системы. После перезагрузки рекомендуется запустить компьютер в безопасном режиме и выполнить полное сканирование системы на наличие вредоносных программ с помощью таких инструментов, как Malwarebytes, чтобы удалить инфекцию и предотвратить будущие атаки.
Для защиты от угрозы TrickMo пользователям следует избегать загрузки программного обеспечения из источников, отличных от официального магазина Google Play. Следует доверять только проверенным приложениям и проявлять осторожность при предоставлении разрешений приложениям, которые вызывают подозрения.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.