Mã độc đánh cắp thông tin Google credential trong chế độ kiosk mode của trình duyệt

Mã độc đánh cắp thông tin Google credential trong chế độ kiosk mode của trình duyệt

Một chiến dịch phát tán mã độc thông qua phương thức bất thường, khoá thao tác người dùng trong chế độ kiosk mode trên trình duyệt của họ nhằm đánh cắp thông tin Google credential.

Đáng chú ý, mã độc này khiến trang đăng nhập thông tin Google trên máy các nạn nhân bị "khoá" theo nghĩa đen, nạn nhân không có cách nào để thoát khỏi trang đăng nhập thông tin. Các phím tắt, các phím chức năng như "ESC" và "F11" cũng bị vô hiệu khoá khi máy nạn nhân bị nhiễm mã độc này.

Kỹ thuật tấn công

Theo báo cáo gần đây từ các nhà nghiên cứu bảo mật của OALABS, kỹ thuật tấn công này được cho đã xuất hiện trên không gian mạng từ cuối tháng 8 năm 2024. Các nhà nghiên cứu chỉ ra Amadey - một malware loader, có liên quan trực tiếp tới kỹ thuật tấn công mới này. Kỹ thuật tấn công này được tóm tắt thông qua các bước như sau:

  • Lây nhiễm Amadey trên máy của nạn nhân.

  • Amadey tải xuống mã độc StealC từ http[:]//31.41.244[.]11/stream/random.exe

  • Amadey tải xuống Credential Flusher từ http[:]//31.41.244[.]11/well/random.exe

  • Credential Flusher khởi chạy trình duyệt web ở chế độ kiosk mode, buộc nạn nhân nhập thông tin đăng nhập của họ và sử dụng StealC để đánh cắp thông tin trên.

Khi khởi chạy trên máy tính của nạn nhân, Amadey thực thi đoạn mã viết bằng AutoIt có chức năng như một "credential flusher" và rà quét toàn bộ máy tính của nạn nhân nhằm thu thập thông tin xác thực được lưu trên trình duyệt web như Chrome, Firefox,...

Chế độ kiosk mode được kích hoạt trên trình duyệt web và điều hướng tới một địa chỉ URL chỉ định trên máy của nạn nhân. Đây là chế độ toàn màn hình của browser, không chứa thanh địa chỉ và các yếu tố giao diện thông thường.

Đoạn mã AutoIt trên cũng chứa tuỳ chọn "ignore" các phím chức năng như "ESC" hay "F11", khiến người dùng không thể thoát chế độ kiosk mode trên trình duyệt, biến máy tính bị nhiễm mã độc rơi vào trạng thái khoá tạm thời trong chế độ này.

Nghiên cứu chỉ ra, mã độc này chuyển hướng nạn nhân tới trang đăng nhập Google có địa chỉ URL: https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, đây là URL được sử dụng cho việc thay đổi mật khẩu tài khoản Google. Do chính sách của Google yêu cầu người dùng phải nhập lại mật khẩu cũ trước khi thay đổi sang mật khẩu mới, mã độc có thể lợi dụng điều này để dễ dàng đánh cắp thông tin đăng nhập (credential) của nạn nhân.

Khắc phục & Phòng tránh

Trường hợp người dùng bị rơi vào chế độ kiosk mode, các phím chức năng như ESC và F11 không phản hồi hoặc nghi ngờ bản thân bị nhiễm loại mã độc này, tuyệt đối không đăng nhập thông tin cá nhân để tránh xảy ra trường hợp bị đánh cắp thông tin.

Những biện pháp được đưa ra để thoát khỏi chế độ kiosk mode bao gồm:

  • Sử dụng các phím, các tổ hợp phím thay thế cho các phím ESC, F11 như Alt + F4, Ctrl + Shift + ESC, Ctrl + Alt + Del, Alt + Tab.

  • Sử dụng tổ hợp phím Win + R, mở Windows command prompt hoặc Task Manager và kill process Chrome thông qua chức năng End Task hoặc thông qua lệnh taskkill /IM chrome.exe /F.

  • Tiến hành khởi động lại máy (hard reset) bằng cách bấm giữ nút nguồn cho tới khi máy tính tắt nguồn hoàn toàn. Tiến hành vào Safe Mode, scan toàn bộ máy sử dụng các phần mềm diệt virus uy tín để loại bỏ mã độc.

Đi cùng với sự phát triển không ngừng của công nghệ hiện nay, các kỹ thuật tấn công từ tin tặc cũng trở nên ngày càng tinh vi, phức tạp. Người dùng cần nâng cao nhận thức của bản thân về các mối nguy hại có thể phải đối mặt trên không gian số, đề cao cảnh giác với những tiến trình bất thường trên máy, đặc biệt là các tiến trình kiosk mode bất thường được khởi chạy, bởi đây có thể là tiền đề để tin tặc đánh cắp thông tin cá nhân thông qua các mã độc nguy hiểm.

Tham khảo

  1. Open Analysis report: https://research.openanalysis.net/credflusher/kiosk/stealer/stealc/amadey/autoit/2024/09/11/cred-flusher.html