UPGRD

Tutte le ultime notizie tech e non

sicurezza informatica

Attacco informatico: come il malware sfrutta la modalità kiosk per rubare credenziali Google

By ,

Attacco informatico in modalità kiosk

Un recente attacco malware ha adottato un metodo insolito per intrappolare gli utenti nella modalità kiosk del loro browser, costringendoli a inserire le proprie credenziali Google, che vengono poi rubate da un malware di tipo information-stealer.

Come funziona l'attacco

Il malware blocca il browser dell'utente sulla pagina di accesso di Google, senza alcuna apparente possibilità di chiudere la finestra. Inoltre, il malware disabilita i tasti ESC e F11, rendendo impossibile uscire dalla modalità kiosk. L'obiettivo è quello di frustrarli a tal punto da indurli a inserire e salvare le proprie credenziali Google nel browser per "sbloccare" il computer.

Una volta che le credenziali vengono salvate, il malware StealC le ruba dal database delle credenziali e le invia all'attaccante.

Origine e diffusione

Secondo i ricercatori di OALABS, questo metodo d'attacco è stato utilizzato attivamente dal 22 agosto 2024, principalmente da Amadey, un loader di malware, strumento di raccolta informazioni e di ricognizione di sistema, già impiegato da hacker nel 2018.

Quando viene avviato, Amadey esegue uno script AutoIt che funge da "flush" delle credenziali, scandagliando il computer infetto per browser disponibili e avviandone uno in modalità kiosk su un URL specificato.

Cosa è la modalità kiosk?

La modalità kiosk è una configurazione speciale utilizzata nei browser o nelle app per funzionare a schermo intero, senza gli elementi standard dell'interfaccia utente come barre degli strumenti, barre degli indirizzi o pulsanti di navigazione. È progettata per limitare l'interazione dell'utente a funzioni specifiche, rendendola ideale per chioschi pubblici e terminali dimostrativi.

Tuttavia, in questo attacco di Amadey, la modalità kiosk viene abusata per limitare le azioni dell'utente e costringerlo sulla pagina di login, con l'unica apparente scelta di inserire le proprie credenziali.

URL di attacco

Per questo attacco, la modalità kiosk viene aperta verso l'URL usato per cambiare la password degli account Google. Poiché Google richiede di reinserire la password prima di poterla cambiare, ciò offre all'utente l'opportunità di ri-autenticarsi e potenzialmente salvare la propria password nel browser quando richiesto.

Rischi e precauzioni

Qualsiasi credenziale che la vittima inserisce sulla pagina e poi salva nel browser viene rubata da StealC, un leggero e versatile strumento di raccolta informazioni lanciato all'inizio del 2023.

Gli utenti che si trovano nella sfortunata situazione di essere bloccati in modalità kiosk, con i tasti Esc e F11 che non funzionano, dovrebbero mantenere la calma e astenersi dall'inserire informazioni sensibili nei moduli.

Suggerimenti per uscire dalla modalità kiosk

  • Provare combinazioni di tasti come Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete, e Alt + Tab.
  • Queste combinazioni potrebbero aiutare a riportare il desktop in primo piano, ciclare tra le app aperte e avviare il Task Manager per terminare il browser (End Task).
  • Premere Win Key + R dovrebbe aprire il prompt dei comandi di Windows. Digitare cmd e poi chiudere Chrome con taskkill /IM chrome.exe /F.
  • Se tutto il resto fallisce, è possibile eseguire un hard reset tenendo premuto il pulsante di accensione fino a quando il computer non si spegne. Questo potrebbe comportare la perdita di lavoro non salvato, ma è comunque preferibile rispetto al furto delle credenziali.

Dopo il riavvio, premere F8, selezionare Modalità provvisoria e, una volta tornati nel sistema operativo, eseguire una scansione antivirus completa per localizzare e rimuovere il malware. L'apertura spontanea di browser in modalità kiosk non è normale e non dovrebbe essere ignorata.

FAQ

Cos'è un attacco informatico in modalità kiosk?

Un attacco informatico in modalità kiosk è un metodo in cui un malware blocca il browser dell'utente su una pagina di accesso, costringendolo a inserire le proprie credenziali, che vengono poi rubate.

Come funziona il malware StealC?

Il malware StealC ruba le credenziali salvate nel browser dall'utente e le invia all'attaccante, sfruttando la vulnerabilità della modalità kiosk.

Qual è l'obiettivo principale di questo attacco?

L'obiettivo principale è indurre l'utente a inserire e salvare le proprie credenziali Google nel browser per 'sbloccare' il computer.

Cosa fa il loader di malware Amadey?

Amadey è un loader di malware che esegue uno script per avviare un browser in modalità kiosk su un URL specificato, cercando di raccogliere informazioni dal computer infetto.

Che cos'è la modalità kiosk?

La modalità kiosk è una configurazione del browser che funziona a schermo intero, limitando l'interazione dell'utente a funzioni specifiche, ideale per chioschi pubblici.

Quali tasti vengono disabilitati dal malware?

Il malware disabilita i tasti ESC e F11, rendendo impossibile uscire dalla modalità kiosk.

Quali sono i rischi associati a questo attacco?

I rischi includono il furto delle credenziali dell'utente, che possono portare a accessi non autorizzati ai propri account e potenziali danni alla privacy.

Cosa fare se si è bloccati in modalità kiosk?

Gli utenti dovrebbero mantenere la calma e non inserire informazioni sensibili. Possono provare combinazioni di tasti per uscire o eseguire un hard reset del computer.

Quali combinazioni di tasti possono aiutare a uscire dalla modalità kiosk?

Combinazioni come Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete e Alt + Tab possono aiutare a riportare il desktop in primo piano o avviare il Task Manager.

Cosa fare dopo aver riavviato il computer?

Dopo il riavvio, è consigliabile avviare il computer in modalità provvisoria e eseguire una scansione antivirus completa per localizzare e rimuovere il malware.

Precedente

macOS Sequoia: Scopri le Novità che Rivoluzionano il Tuo Mac!

Successivo

DeepSeek-V2.5: Il modello AI che rivoluziona la generazione testi e il coding