图片来源:
Open Analysis Labs
Open Analysis Labs(OALabs)最近揭露,知名恶意程式Amadey最近采取了一个用来窃取凭证的新招术,就是以Kiosk模式启动浏览器,并连至特定服务的首页,通常是Google,迫使使用者输入凭证,再将凭证盗走。
Amadey现身于2018年,它能够接收骇客的命令以窃取敏感资讯并安装其它恶意程式,于地下论坛上的售价为500美元。
然而,OALabs在8月时发现受害装置在感染Amadey之后,Amadey除了自骇客控制的远端伺服器下载凭证窃取程式StealC之外,也会部署凭证刷新工具(Credential Flusher),此一工具是个AutoIt脚本程式,它会先检查受害装置上所安装的浏览器,选择浏览器(优先顺序是Edge,Chrome及Brave),再以Kiosk模式启动该浏览器,并将浏览器导至Google登入页面。
Kiosk模式也可称为自助终端模式,主要用于公共场所的资讯展示,因此它通常是全萤幕的,隐藏了网址列,禁用ESC或Alt+F4等退出视窗的快捷键,而且如果使用者关闭了浏览器,重启后也可能再度进入Kiosk模式。包括Chrome、Edge、Firefox与Safari等浏览器都有类似的功能。
于是,当使用者被迫留在Kiosk模式的Google登入页面时,陷入了进退两难的困境,有可能会输入Google凭证企图脱身,然后就被浏览器存下来,接著遭StealC盗走。
此一新的手法结合了传统的恶意程式与新的社交工程技术,以提高攻击的成功率。