Kampanye malware menggunakan metode yang tidak biasa dengan mengunci pengguna dalam mode kios browser mereka untuk mengganggu mereka agar memasukkan kredensial Google mereka, yang kemudian dicuri oleh malware pencuri informasi.
Secara khusus, malware tersebut “mengunci” peramban pengguna di halaman login Google tanpa cara yang jelas untuk menutup jendela tersebut, karena malware tersebut juga memblokir tombol keyboard “ESC” dan “F11”. Tujuannya adalah untuk membuat pengguna frustrasi sehingga mereka memasukkan dan menyimpan kredensial Google mereka di peramban untuk “membuka” komputer.
Setelah kredensial disimpan, malware pencuri informasi StealC mencurinya dari penyimpanan kredensial dan mengirimkannya kembali ke penyerang.
Pencurian mode kios
Menurut Peneliti OALABS yang mengungkap metode serangan aneh ini, telah digunakan di alam liar setidaknya sejak 22 Agustus 2024, terutama oleh Siappemuat malware, pencuri informasi, dan alat pengintaian sistem yang pertama kali digunakan oleh peretas pada tahun 2018.
Saat diluncurkan, Amadey akan menyebarkan skrip AutoIt yang berfungsi sebagai pembersih kredensial, yang memindai mesin yang terinfeksi untuk mencari browser yang tersedia, lalu meluncurkannya dalam mode kios ke URL yang ditentukan.
Sumber: OALABS
Skrip tersebut juga menetapkan parameter abaikan untuk tombol F11 dan Escape pada peramban korban, mencegah keluarnya korban dari mode kios dengan mudah.
Sumber: OALABS
Mode kios adalah konfigurasi khusus yang digunakan di browser web atau aplikasi untuk berjalan dalam mode layar penuh tanpa elemen antarmuka pengguna standar seperti bilah alat, bilah alamat, atau tombol navigasi. Mode ini dirancang untuk membatasi interaksi pengguna pada fungsi tertentu, sehingga ideal untuk kios umum, terminal demonstrasi, dll.
Namun, dalam serangan Amadey ini, mode kios disalahgunakan untuk membatasi tindakan pengguna dan membatasinya ke halaman login, dengan satu-satunya pilihan yang jelas adalah memasukkan kredensial akun mereka.
Untuk serangan ini, mode kios akan dibuka ke https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, yang sesuai dengan URL perubahan kata sandi untuk akun Google.
Karena Google mengharuskan Anda memasukkan kembali kata sandi sebelum dapat diubah, ini memberikan kesempatan bagi pengguna untuk mengautentikasi ulang dan berpotensi menyimpan kata sandi mereka di browser saat diminta.
Sumber: OALABS
Kredensial apa pun yang dimasukkan korban pada halaman dan kemudian disimpan ke browser saat diminta dicuri oleh StealC, pencuri informasi yang ringan dan serbaguna diluncurkan pada awal tahun 2023.
Keluar dari mode kios
Pengguna yang mengalami situasi yang tidak mengenakkan karena terkunci dalam mode kios, dengan Esc dan F11 tidak melakukan apa pun, sebaiknya tetap mengendalikan rasa frustrasinya dan menghindari memasukkan informasi sensitif apa pun pada formulir.
Sebagai gantinya, cobalah kombinasi tombol pintas lainnya seperti ‘Alt + F4’, ‘Ctrl + Shift + Esc’, ‘Ctrl + Alt + Delete’, dan ‘Alt + Tab.’
Itu dapat membantu menampilkan desktop di latar depan, menelusuri aplikasi yang terbuka, dan meluncurkan Pengelola Tugas untuk mengakhiri peramban (Akhiri Tugas).
Menekan ‘Tombol Win + R’ akan membuka prompt perintah Windows. Ketik ‘cmd’ lalu matikan Chrome dengan ‘taskkill /IM chrome.exe /F.’
Jika cara lain gagal, Anda selalu dapat melakukan hard reset dengan menahan tombol Power hingga komputer mati. Hal ini dapat mengakibatkan hilangnya pekerjaan yang belum disimpan, tetapi skenario ini seharusnya masih lebih baik daripada kredensial akun dicuri.
Saat melakukan boot ulang, tekan F8, pilih Safe Mode, dan setelah kembali ke OS, jalankan pemindaian antivirus lengkap untuk menemukan dan menghapus malware. Peluncuran browser mode kios secara spontan bukanlah hal yang normal dan tidak boleh diabaikan.
