Una campaña de malware utiliza el método inusual de bloquear a los usuarios en el modo quiosco de su navegador para molestarlos y obligarlos a ingresar sus credenciales de Google, que luego son robadas por un malware que roba información.
En concreto, el malware “bloquea” el navegador del usuario en la página de inicio de sesión de Google sin una forma obvia de cerrar la ventana, ya que el malware también bloquea las teclas del teclado “ESC” y “F11”. El objetivo es frustrar al usuario lo suficiente para que ingrese y guarde sus credenciales de Google en el navegador para “desbloquear” la computadora.
Una vez que se guardan las credenciales, el malware que roba información StealC las roba del almacén de credenciales y las envía de vuelta al atacante.
Según los investigadores de OALABS que descubrieron este peculiar método de ataque, se ha utilizado de forma activa desde al menos el 22 de agosto de 2024, principalmente por Amadey, un cargador de malware, ladrón de información y herramienta de reconocimiento del sistema que los piratas informáticos implementaron por primera vez en 2018.
Cuando se lanza, Amadey implementará un script de AutoIt que actúa como limpiador de credenciales, que escanea la máquina infectada en busca de navegadores disponibles y lanza uno en modo quiosco en una URL específica.
El modo quiosco es una configuración especial que se utiliza en los navegadores web o las aplicaciones para ejecutarse en modo de pantalla completa sin los elementos estándar de la interfaz de usuario, como barras de herramientas, barras de direcciones o botones de navegación. Está diseñado para limitar la interacción del usuario a funciones específicas, lo que lo hace ideal para quioscos públicos, terminales de demostración, etc.
Sin embargo, en este ataque de Amadey, se abusa del modo quiosco para restringir las acciones del usuario y limitarlas a la página de inicio de sesión, siendo la única opción aparente la de ingresar las credenciales de su cuenta.
Para este ataque, el modo quiosco se abrirá en https://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password, que corresponde a la URL de cambio de contraseña para las cuentas de Google.
Como Google requiere que vuelvas a ingresar tu contraseña antes de poder cambiarla, le brinda al usuario la oportunidad de volver a autenticarse y potencialmente guardar su contraseña en el navegador cuando se le solicite.
Las credenciales que la víctima ingresa en la página y luego guarda en el navegador cuando se le solicita son robadas por StealC, un ladrón de información liviano y versátil lanzado a principios de 2023.
Los usuarios que se encuentran en la desafortunada situación de quedar bloqueados en el modo quiosco, sin que Esc y F11 hagan nada, deben controlar su frustración y evitar ingresar información confidencial en los formularios.
En su lugar, prueba otras combinaciones de teclas de acceso rápido como ‘Alt + F4’, ‘Ctrl + Shift + Esc’, ‘Ctrl + Alt + Delete’ y ‘Alt + Tab’.
Estos pueden ayudar a poner el escritorio en primer plano, recorrer las aplicaciones abiertas e iniciar el Administrador de tareas para cerrar el navegador (Finalizar tarea).
Al presionar la tecla Windows + R se debería abrir el símbolo del sistema de Windows. Escriba “cmd” y luego cierre Chrome con “taskkill /IM chrome.exe /F”.
Si todo lo demás falla, siempre puede realizar un restablecimiento completo manteniendo presionado el botón de encendido hasta que se apague la computadora. Esto puede resultar en la pérdida de trabajo no guardado, pero este escenario debería ser mejor que el robo de credenciales de cuenta.
Al reiniciar, presione F8, seleccione Modo seguro y, una vez que esté nuevamente en el sistema operativo, ejecute un análisis antivirus completo para localizar y eliminar el malware. Los inicios espontáneos del navegador en modo quiosco no son normales y no deben ignorarse.