Метод заключается в том, что жертву вынуждают вводить свои учётные данные на настоящих сайтах, после чего они попадают в хранилище учётных данных поисковика и могут быть легко похищены с помощью вредоносных программ.
Данная техника была впервые замечена в конце минувшего августа и уже активно применяется с использованием вредоноса StealC, который часто распространяется с помощью загрузчика Amadey, пишет Securitylab.
Особенность такого подхода заключается в использовании программы, написанного на AutoIt, который запускает браузер жертвы в "режиме киоска". В этом режиме браузер разворачивается на полный экран и блокирует возможность пользователя закрыть или сменить страницу. В результате пользователь, стремясь закрыть окно, вводит свои учётные данные, которые затем могут быть легко украдены с использованием вредоносного ПО.
Метод активно используется в сочетании с загрузчиком Amadey. Сначала жертва заражается этим загрузчиком, который затем загружает StealC, а вместе с ним «Credential Flusher» — инструмент, который и открывает браузер в режиме киоска. Важно отметить, что «Credential Flusher» сам по себе не ворует данные, а служит лишь способом принудить жертву к вводу своих учётных данных.
Сама программа на AutoIt разработан таким образом, чтобы определить, какие браузеры установлены на устройстве жертвы, и запустить их в режиме киоска на нужной странице. Обычно целью является страница входа в Google, где пользователь вводит свои данные, не подозревая о том, что они будут похищены.
Злоумышленники также могут использовать этот ход для других поисковиков, таких как Microsoft Edge или Brave, что делает его универсальным инструментом для подобных атак. Скрипт постоянно проверяет, открыт ли браузер, и, если пользователь пытается его закрыть, он автоматически запускается снова, до тех пор, пока учётные данные не будут введены.