มัลแวร์ล็อกเว็บเบราว์เซอร์ในโหมด kiosk เพื่อขโมยข้อมูลสำคัญของ Google จากผู้ใช้

 

แคมเปญมัลแวร์ใช้วิธีการที่ไม่ปกติโดยการล็อกผู้ใช้ไว้ในโหมด kiosk ของเบราว์เซอร์ เพื่อบังคับให้ผู้ใช้กรอกข้อมูล credentials ของ Google จากนั้นก็จะใช้มัลแวร์ทำการขโมยข้อมูลออกไป

โดยเฉพาะอย่างยิ่ง มัลแวร์จะ "ล็อค" เบราว์เซอร์ของผู้ใช้ไว้ที่หน้าเข้าสู่ระบบของ Google โดยจะไม่มีวิธีในการปิดหน้าต่างนั้น เนื่องจากนี้มัลแวร์ยังทำการบล็อกปุ่ม "ESC" และ "F11" บนคีย์บอร์ดอีกด้วย จุดประสงค์คือเพื่อสร้างความหงุดหงิดให้ผู้ใช้ จนผู้ใช้ทำการกรอกข้อมูลการลงชื่อเข้าใช้ระบบของ Google ลงในเบราว์เซอร์ และบันทึกข้อมูลดังกล่าวเพื่อ “ปลดล็อก” คอมพิวเตอร์

เมื่อข้อมูล credentials ถูกบันทึกแล้ว มัลแวร์ขโมยข้อมูลที่ชื่อ StealC จะขโมยข้อมูลเหล่านั้นจาก credential store และส่งกลับไปยังผู้โจมตี

การขโมยข้อมูลในโหมด kiosk

ตามที่นักวิจัยจาก OALABS ซึ่งเป็นผู้ค้นพบวิธีการโจมตีที่ไม่ปกตินี้รายงาน พบว่ามีการใช้งานจริงตั้งแต่วันที่ 22 สิงหาคม 2024 โดยส่วนใหญ่จะดำเนินการโดย Amadey ซึ่งเป็นมัลแวร์ที่ทำหน้าที่เป็นตัว loader, ขโมยข้อมูล และตรวจสอบสำรวจระบบ ที่ถูกนำมาใช้โดยแฮ็กเกอร์ครั้งแรกในปี 2018

เมื่อ Amadey เริ่มทำงาน จะเรียกใช้สคริปต์ AutoIt ที่ทำหน้าที่เป็นตัว credentials flusher โดยจะสแกนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์เพื่อค้นหาเบราว์เซอร์ที่มีอยู่ และเปิดเบราว์เซอร์ในโหมด kiosk ไปยัง URL ที่กำหนดไว้

ส่วนของสคริปต์ที่ใช้เปิด Chrome หรือ Edge ในโหมด kiosk โดยใช้ URL หน้าเข้าสู่ระบบของ Google
Source: OALABS

สคริปต์นี้ยังตั้งค่าพารามิเตอร์ให้บล็อกปุ่ม F11 และ Escape บนเบราว์เซอร์ของเหยื่อ ทำให้ไม่สามารถหลุดออกจากโหมด kiosk ได้โดยง่าย

การเพิกเฉยต่อการกดปุ่ม F11 และ Esc
Source: OALABS

โหมด Kiosk เป็นการตั้งค่าพิเศษที่ใช้ในเว็บเบราว์เซอร์ หรือแอปพลิเคชันเพื่อให้ทำงานในโหมดเต็มหน้าจอ โดยไม่มีส่วนประกอบของอินเทอร์เฟซผู้ใช้ปรากฎ เช่น แถบเครื่องมือ, แถบที่อยู่ หรือปุ่มนำทาง โหมดนี้ถูกออกแบบมาเพื่อจำกัดการโต้ตอบของผู้ใช้ให้อยู่เฉพาะกับฟังก์ชันที่กำหนด จึงทำให้เหมาะสำหรับ public kiosks หรือ demonstration terminals เป็นต้น

การโจมตีของ Amadey ในครั้งนี้ โหมด Kiosk ถูกนำไปใช้ในทางที่ผิดเพื่อจำกัดการกระทำของผู้ใช้ และจำกัดให้อยู่แค่หน้าเข้าสู่ระบบ โดยทางเลือกเดียวที่ทำได้ คือผู้ใช้จะต้องกรอกข้อมูลการเข้าสู่ระบบของตน ถึงจะสามารถหลุดพ้นจากหน้าต่างนี้ได้

สำหรับการโจมตีนี้ โหมด Kiosk จะถูกเปิดไปยัง https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password ซึ่งเป็น URL สำหรับการเปลี่ยนรหัสผ่านของบัญชี Google

เนื่องจาก Google ต้องการให้คุณป้อนรหัสผ่านเดิมอีกครั้งก่อนที่จะสามารถเปลี่ยนรหัสผ่านใหม่ได้ จึงเป็นโอกาสที่ผู้ใช้จะยืนยันตัวตนอีกครั้ง และอาจจะบันทึกรหัสผ่านของตนบนเว็บเบราว์เซอร์เมื่อได้รับการแจ้งเตือน

ข้อมูลสำคัญต่าง ๆ ที่เหยื่อกรอกลงไปในหน้าเว็บ และกดบันทึกไว้ในเบราว์เซอร์จะถูกขโมยโดย StealC ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่มีขนาดเล็ก และมีความสามารถที่หลากหลาย ซึ่งถูกเปิดตัวเมื่อช่วงต้นปี 2023 ที่ผ่านมา

การออกจากโหมด Kiosk

หากผู้ใช้ที่พบว่าตัวเองติดอยู่ในโหมด Kiosk โดยที่ปุ่ม Esc และ F11 ไม่ทำงาน ควรควบคุมสติของตนเอง และหลีกเลี่ยงการกรอกข้อมูลสำคัญใด ๆ ลงไปในหน้าเว็บเบราว์เซอร์ที่ปรากฎอยู่
ให้ลองใช้การกดปุ่มคีย์ลัดอื่น ๆ แทน เช่น 'Alt + F4', 'Ctrl + Shift + Esc', 'Ctrl + Alt + Delete' และ 'Alt + Tab'
วิธีเหล่านี้อาจช่วยนำหน้าเดสก์ท็อปมาอยู่ด้านหน้าได้, สลับระหว่างแอปที่เปิดอยู่ และเปิด Task Manager ขึ้นมา เพื่อยุติการทำงานของเบราว์เซอร์ (End Task)
กด 'Win Key + R' เปิด Windows command prompt ให้พิมพ์ 'cmd' แล้วปิด Chrome ด้วยคำสั่ง 'taskkill /IM chrome.exe /F'
หากทุกวิธีข้างต้นไม่สำเร็จ คุณสามารถทำการรีเซ็ตเครื่องโดยการกดปุ่ม Power ค้างจนกว่าคอมพิวเตอร์จะปิด วิธีนี้อาจทำให้ข้อมูลที่ยังไม่ได้บันทึกสูญหาย แต่ยังดีกว่าการที่ข้อมูลบัญชีถูกขโมยไป
เมื่อรีบูตเครื่อง ให้กด F8 เลือกโหมดปลอดภัย (Safe Mode) และเมื่อกลับเข้าสู่ระบบปฏิบัติการ (OS) แล้ว ให้ทำการสแกนไวรัสแบบเต็มรูปแบบเพื่อค้นหา และลบมัลแวร์ล็อกเว็บเบราว์เซอร์ในโหมด Kiosk ออกจากเครื่องทันที

ที่มา : bleepingcomputer