Une campagne de logiciels malveillants utilise une méthode peu conventionnelle pour piéger les utilisateurs dans le mode kiosque de leur navigateur, les incitant à entrer leurs identifiants Google, qui sont ensuite dérobés par un malware de vol d’informations.
Concrètement, le malware « verrouille » le navigateur de l’utilisateur sur la page de connexion de Google, sans moyen évident de fermer la fenêtre, car il bloque également les touches « Échap » et « F11 ». L’objectif est de frustrer suffisamment l’utilisateur pour qu’il saisisse et enregistre ses identifiants Google dans le navigateur afin de « déverrouiller » l’ordinateur.
Une fois les identifiants enregistrés, le malware StealC les récupère dans le gestionnaire de mots de passe et les renvoie à l’attaquant.
Vol d’identifiants en mode kiosque
Des chercheurs d’OALABS, qui ont mis au jour cette méthode d’attaque singulière, rapportent qu’elle est active depuis au moins le 22 août 2024, principalement utilisée par Amadey, un chargeur de malware, un voleur d’informations et un outil de reconnaissance système déployé pour la première fois par des hackers en 2018.
Lors de son lancement, Amadey exécute un script AutoIt qui agit comme un « flusher » d’identifiants, scannant la machine infectée à la recherche de navigateurs disponibles et en lançant l’un d’eux en mode kiosque vers une URL spécifiée.
Source : OALABS
Le script configure également un paramètre d’ignorance pour les touches F11 et Échap sur le navigateur de la victime, empêchant ainsi une sortie facile du mode kiosque.
Source : OALABS
Le mode kiosque est une configuration spéciale utilisée dans les navigateurs ou les applications pour fonctionner en mode plein écran sans les éléments d’interface utilisateur standard tels que les barres d’outils, les barres d’adresse ou les boutons de navigation. Il est conçu pour limiter l’interaction de l’utilisateur à des fonctions spécifiques, ce qui le rend idéal pour les kiosques publics, les terminaux de démonstration, etc.
Dans cette attaque Amadey, cependant, le mode kiosque est détourné pour restreindre les actions de l’utilisateur et les limiter à la page de connexion, la seule option apparente étant de saisir ses identifiants de compte.
Pour cette attaque, le mode kiosque s’ouvre sur https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, correspondant à l’URL de changement de mot de passe pour les comptes Google.
Étant donné que Google exige que vous ressaisissiez votre mot de passe avant qu’il ne puisse être modifié, cela offre une opportunité à l’utilisateur de se réauthentifier et potentiellement d’enregistrer son mot de passe dans le navigateur lorsqu’il y est invité.
Source : OALABS
Tous les identifiants que la victime saisit sur la page et qu’elle enregistre dans le navigateur lorsqu’elle y est invitée sont dérobés par StealC, un voleur d’informations léger et polyvalent lancé début 2023.
Sortir du mode kiosque
Les utilisateurs qui se retrouvent dans la malheureuse situation d’être bloqués en mode kiosque, avec les touches Échap et F11 inactives, doivent garder leur calme et éviter de saisir des informations sensibles dans les formulaires.
Ils peuvent essayer d’autres combinaisons de touches comme ‘Alt + F4’, ‘Ctrl + Shift + Échap’, ‘Ctrl + Alt + Suppr’, et ‘Alt + Tab’.
Celles-ci peuvent aider à ramener le bureau au premier plan, à faire défiler les applications ouvertes et à lancer le Gestionnaire des tâches pour terminer le navigateur (Fin de tâche).
En appuyant sur ‘Touche Windows + R’, vous devriez ouvrir l’invite de commande Windows. Tapez ‘cmd’ puis terminez Chrome avec ‘taskkill /IM chrome.exe /F’.
Si tout échoue, vous pouvez toujours effectuer un redémarrage forcé en maintenant le bouton d’alimentation enfoncé jusqu’à ce que l’ordinateur s’éteigne. Cela peut entraîner la perte de travaux non enregistrés, mais cette situation est tout de même préférable à celle de voir ses identifiants de compte dérobés.
Lors du redémarrage, appuyez sur F8, sélectionnez le mode sans échec, et une fois de retour sur le système d’exploitation, effectuez une analyse antivirus complète pour localiser et supprimer le malware. Des lancements spontanés de navigateur en mode kiosque ne sont pas normaux et ne doivent pas être ignorés.
