Attacco informatico in modalità kiosk
Un recente attacco malware ha adottato un metodo insolito per intrappolare gli utenti nella modalità kiosk del loro browser, costringendoli a inserire le proprie credenziali Google, che vengono poi rubate da un malware di tipo information-stealer.
Come funziona l'attacco
Il malware blocca il browser dell'utente sulla pagina di accesso di Google, senza alcuna apparente possibilità di chiudere la finestra. Inoltre, il malware disabilita i tasti ESC e F11, rendendo impossibile uscire dalla modalità kiosk. L'obiettivo è quello di frustrarli a tal punto da indurli a inserire e salvare le proprie credenziali Google nel browser per "sbloccare" il computer.
Una volta che le credenziali vengono salvate, il malware StealC le ruba dal database delle credenziali e le invia all'attaccante.
Origine e diffusione
Secondo i ricercatori di OALABS, questo metodo d'attacco è stato utilizzato attivamente dal 22 agosto 2024, principalmente da Amadey, un loader di malware, strumento di raccolta informazioni e di ricognizione di sistema, già impiegato da hacker nel 2018.
Quando viene avviato, Amadey esegue uno script AutoIt che funge da "flush" delle credenziali, scandagliando il computer infetto per browser disponibili e avviandone uno in modalità kiosk su un URL specificato.
Cosa è la modalità kiosk?
La modalità kiosk è una configurazione speciale utilizzata nei browser o nelle app per funzionare a schermo intero, senza gli elementi standard dell'interfaccia utente come barre degli strumenti, barre degli indirizzi o pulsanti di navigazione. È progettata per limitare l'interazione dell'utente a funzioni specifiche, rendendola ideale per chioschi pubblici e terminali dimostrativi.
Tuttavia, in questo attacco di Amadey, la modalità kiosk viene abusata per limitare le azioni dell'utente e costringerlo sulla pagina di login, con l'unica apparente scelta di inserire le proprie credenziali.
URL di attacco
Per questo attacco, la modalità kiosk viene aperta verso l'URL usato per cambiare la password degli account Google. Poiché Google richiede di reinserire la password prima di poterla cambiare, ciò offre all'utente l'opportunità di ri-autenticarsi e potenzialmente salvare la propria password nel browser quando richiesto.
Rischi e precauzioni
Qualsiasi credenziale che la vittima inserisce sulla pagina e poi salva nel browser viene rubata da StealC, un leggero e versatile strumento di raccolta informazioni lanciato all'inizio del 2023.
Gli utenti che si trovano nella sfortunata situazione di essere bloccati in modalità kiosk, con i tasti Esc e F11 che non funzionano, dovrebbero mantenere la calma e astenersi dall'inserire informazioni sensibili nei moduli.
Suggerimenti per uscire dalla modalità kiosk
- Provare combinazioni di tasti come Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete, e Alt + Tab.
- Queste combinazioni potrebbero aiutare a riportare il desktop in primo piano, ciclare tra le app aperte e avviare il Task Manager per terminare il browser (End Task).
- Premere Win Key + R dovrebbe aprire il prompt dei comandi di Windows. Digitare cmd e poi chiudere Chrome con taskkill /IM chrome.exe /F.
- Se tutto il resto fallisce, è possibile eseguire un hard reset tenendo premuto il pulsante di accensione fino a quando il computer non si spegne. Questo potrebbe comportare la perdita di lavoro non salvato, ma è comunque preferibile rispetto al furto delle credenziali.
Dopo il riavvio, premere F8, selezionare Modalità provvisoria e, una volta tornati nel sistema operativo, eseguire una scansione antivirus completa per localizzare e rimuovere il malware. L'apertura spontanea di browser in modalità kiosk non è normale e non dovrebbe essere ignorata.