Magazine High tech

Une nouvelle attaque de phishing utilise le mode kiosque « sans échappement » dans Chrome pour extraire les mots de passe

Publié le 21 septembre 2024 par Zaebos @MetatroneFR

La solution rapide est Ctrl-Alt-Suppr

En un mot: Des chercheurs en sécurité ont découvert une nouvelle méthode de phishing, qui utilise le mode kiosque dans les navigateurs pour voler des identifiants. Cette technique piège les utilisateurs sur une page de connexion en plein écran (la connexion Google est la plus courante) sans autre option que de saisir leurs informations. Ils utilisent ensuite un voleur d'identifiants pour récupérer les informations.

Les experts en cybersécurité d'OALabs ont découvert un nouveau vecteur d'attaque pour voler des identifiants. Cette méthode unique consiste à lancer le navigateur de l'utilisateur en mode kiosque sur une page de connexion (généralement Google). Le mode kiosque est utile pour isoler un système afin d'exécuter des applications spécifiques. Un distributeur automatique de billets en est un exemple connu.

Le mode kiosque exécutant une application en plein écran, il n'existe aucun moyen apparent de quitter le programme autrement qu'en appuyant sur F11 pour quitter le plein écran. Malheureusement, le logiciel malveillant désactive les touches de fonction. Sans moyen de sortir du navigateur, la seule option disponible pour les utilisateurs est de saisir leur nom d'utilisateur et leur mot de passe, qui sont immédiatement volés par le logiciel malveillant. Un voleur d'identifiants appelé « StealC » est le plus courant.

StealC permet aux attaquants d'extraire des données du magasin d'informations d'identification du navigateur. OALabs a repéré pour la première fois cette méthode d'attaque le 22 août 2024 et l'a surnommée « Credential Flusher ». L'agence Loader Insight note que cette méthode est fréquemment déployée par le botnet Amadey lors de la distribution de StealC.

S'agit-il d'une nouvelle technique de vol ou simplement de quelque chose qui passe inaperçu ?

– Ouvrir le navigateur en mode kiosque (pas d'échappatoire)
– Forcer l'utilisateur à saisir les identifiants Google
– Volez-les depuis le navigateur !

cc @unpacme @LIA_Intel https://t.co/heLbiNo8y5

– herrcore (@herrcore) 12 septembre 2024

Une fois que les pirates ont récupéré les identifiants, ils modifient généralement le mot de passe Google de la cible, ce qui la prive de tous les services Google tels que Gmail et Google Docs. Les victimes perdent également l'accès à tout site Web tiers qu'elles ont créé à l'aide de la fonctionnalité Se connecter avec Google.

Les chercheurs soulignent que Credential Flusher n’est pas un voleur d’informations d’identification en soi.

Il est simplement utilisé pour faire pression sur la victime afin qu'elle entre ses informations d'identification, il doit donc être utilisé en conjonction avec un voleur.

  • Tout d’abord, la victime est infectée par Amadey (un malware de déploiement de charge utile).
  • Amadey est ensuite utilisé pour charger StealC.
  • Amadey charge ensuite le Credential Flusher.
  • Le Credential Flusher lance ensuite le navigateur en mode kiosque pour forcer la victime à saisir ses informations d'identification, qui peuvent ensuite être volées par StealC.

Les hackers affirment également n'avoir vu cette technique utilisée que sur Chrome. Cependant, d'autres navigateurs ont des fonctionnalités similaires au mode kiosque, il est donc possible de modifier l'attaque pour utiliser un autre navigateur que celui de Google.

Heureusement, Credential Flusher présente quelques défauts qui le rendent moins dangereux. Tout d'abord, le fait de passer en mode kiosque lors de l'ouverture de Chrome devrait déclencher toutes sortes de signaux d'alarme chez tous, sauf chez les plus naïfs ou les plus inexpérimentés. Ce n'est tout simplement pas un comportement normal. Ensuite, bien que le malware puisse désactiver les touches de fonction, peu de choses peuvent résister au bon vieux Ctrl+Alt+Suppr. Grâce à cette relique de Windows, les utilisateurs peuvent redémarrer leur PC ou utiliser le Gestionnaire des tâches pour arrêter Chrome.

Cependant, la mesure la plus efficace consiste à ne pas télécharger d'applications douteuses. La plupart des installations de logiciels malveillants, mais pas toutes, nécessitent une intervention de l'utilisateur. Ne les touchez pas si vous ne savez pas de quoi il s'agit ou d'où ils proviennent. Cela semble évident, mais de nombreuses personnes se font avoir par des logiciels malveillants déguisés en applications pratiques.

Crédit photo : Richard Patterson


Retour à La Une de Logo Paperblog

A propos de l’auteur


Zaebos 7622 partages Voir son profil
Voir son blog