Νέα τεχνική για την κλοπή κωδικών πρόσβασης από τον περιηγητή Google Chrome

Μια μέρα, όπως όλες οι άλλες, περιηγείστε στο διαδίκτυο και ξαφνικά ο web browser σας σταματά να λειτουργεί. Αυτό που βλέπετε είναι μια σελίδα σύνδεσης σε πλήρη οθόνη, που σας ζητά να εισάγετε τα διαπιστευτήρια του λογαριασμού σας στο Google για να προχωρήσετε. Σε κανονικές συνθήκες, κάτι τέτοιο δεν θα έπρεπε να συμβαίνει. Ωστόσο, αρκετοί χρήστες έχουν βιώσει αυτή την κατάσταση, η οποία προφανώς υποδηλώνει μια κυβερνοεπίθεση.

Οι ερευνητές της OALabs επισημαίνουν ότι οι κυβερνοεγκληματίες χρησιμοποιούν αυτή τη νέα μέθοδο για να αποσπάσουν usernames και passwords. Αν και ο μηχανισμός είναι σχετικά απλός, φαίνεται ότι είναι πολύ αποτελεσματικός. Τα θύματα συνήθως δεν υποψιάζονται τίποτα και καταλήγουν να παρέχουν τα στοιχεία σύνδεσής τους σε κακόβουλους χρήστες, χωρίς να το αντιληφθούν, προκειμένου να συνεχίσουν τη δραστηριότητά τους.

Η διαδικασία ξεκινά όταν ο χρήστης μολύνεται από ένα κακόβουλο λογισμικό που ονομάζεται Amadey, το οποίο ανοίγει το δρόμο για την εκτέλεση ενός συνοδευτικού malware γνωστού ως StealC. Όταν το σύστημα παραβιάζεται, ο web browser εισέρχεται σε «kiosk mode», με το περιεχόμενο να προβάλλεται σε πλήρη οθόνη, και οι χρήστες δεν μπορούν να επιστρέψουν στην κανονική εμφάνιση χρησιμοποιώντας τα πλήκτρα F11 ή ESC.

Το kiosk mode είναι μια πραγματική δυνατότητα του Chrome, που επιτρέπει στους χρήστες να χρησιμοποιούν τον browser σε γκισέ εγγραφής επισκεπτών ή σε σημεία πώλησης. Ωστόσο, το malware εκμεταλλεύεται αυτή τη δυνατότητα για να περιορίσει τις επιλογές του χρήστη-θύματος. Σε αυτή την περίπτωση, εμφανίζει μια σελίδα σύνδεσης της Google με την αναμενόμενη εμφάνιση.

Αφού ο χρήστης εισάγει τα διαπιστευτήρια πρόσβασής του στο παραβιασμένο σύστημα, ενεργοποιείται το StealC, το οποίο αναλαμβάνει την κλοπή αυτών των πληροφοριών. Έτσι, οι hackers αποκτούν πρόσβαση στον λογαριασμό του θύματος και μπορούν να τον εκμεταλλευτούν για διάφορες παράνομες ενέργειες, όπως η διανομή άλλων τύπων κακόβουλου λογισμικού ή η εκτέλεση τραπεζικών απάτων.

Είναι σημαντικό να σημειωθεί ότι κατά καιρούς απαιτείται να εισάγουμε τα στοιχεία σύνδεσής μας στον λογαριασμό μας στη Google, κάτι που είναι απολύτως φυσιολογικό. Ωστόσο, δεν είναι συνηθισμένο να εμφανίζονται οι περιορισμοί του kiosk mode του Chrome. Μπορούμε επίσης να ενισχύσουμε την ασφάλειά μας χρησιμοποιώντας passkeys και επαλήθευση δύο βημάτων.