Les pirates informatiques obligent les utilisateurs de Chrome à fournir leurs mots de passe Google, voici comment
Mise à jour, 16 septembre 2024 : cet article, initialement publié le 15 septembre, inclut désormais des détails sur une autre nouvelle menace de vol d’informations d’identification ciblant les utilisateurs du navigateur Chrome.
Une étude récemment publiée révèle comment les pirates informatiques utilisent une nouvelle technique sournoise pour forcer les utilisateurs du navigateur Chrome à révéler leurs mots de passe de compte Google par pure frustration. Cette campagne de vol d’identifiants, qui utilise un logiciel malveillant appelé StealC, verrouille le navigateur de l’utilisateur en mode kiosque tout en bloquant les touches F11 et ESC pour l’empêcher de sortir de ce mode plein écran. La seule chose qui s’affiche sur l’écran du navigateur dans ce mode kiosque ennuyeux et apparemment incontournable est une fenêtre de connexion, le plus souvent pour votre compte Google lui-même, selon les chercheurs.
Comment les pirates informatiques utilisent une nouvelle technique de harcèlement pour voler les mots de passe des comptes Google
Les pirates informatiques ont utilisé de nombreuses méthodes pour accéder à vos précieux comptes Google, à la clé de votre boîte de réception Gmail et aux trésors de sécurité qu’elle contient, ou à la phrase de passe de votre portefeuille cryptographique. Récemment, nous avons vu des malwares utiliser la reconnaissance optique de caractères pour récupérer des mots de passe cryptographiques, et un autre qui cible les codes d’authentification à deux facteurs en incitant les utilisateurs à donner leur autorisation pour lire des SMS, par exemple. Mais il existe désormais un nouvel acteur en ville du nom de StealC, qui utilise peut-être la méthode la plus simple mais la plus efficace pour accéder aux identifiants de compte Google : ennuyer la victime à mort.
Les chercheurs de l’Open Analysis Lab ont révélé comment la campagne de vidage des identifiants utilise cette technique depuis au moins le 22 août. analyseLes chercheurs d’OALabs ont confirmé que les pirates forcent la victime à saisir ses identifiants dans le navigateur, d’où le malware peut ensuite les voler. « La technique consiste à lancer le navigateur de la victime en mode kiosque et à naviguer vers la page de connexion du service ciblé, généralement Google », ont expliqué les chercheurs. Étant donné que le mode kiosque est un déploiement plein écran du navigateur et que la victime ne peut pas quitter le navigateur ou fermer l’application, une seule option est proposée aux personnes qui ont le malheur de se faire piéger de cette façon : une fenêtre de connexion à un compte Google.
Google Account Credential Flusher n’est pas un voleur d’informations d’identification
Il est intéressant de noter que le récupérateur d’identifiants n’est pas en soi un voleur d’identifiants. Il se contente d’appliquer l’effet de levier nécessaire pour inciter la victime frustrée à saisir elle-même ses identifiants de compte. Une fois cette opération effectuée, un malware de vol d’identifiants standard, dans ce cas StealC, se déploie pour récupérer les mots de passe dans la base d’identifiants du navigateur Chrome et les livrer aux attaquants. En fait, toute la campagne n’est possible qu’en utilisant un certain nombre d’éléments connus différents. Il s’agit principalement de l’outil de piratage Amadey, utilisé depuis au moins six ans, qui charge le logiciel malveillant. Les chercheurs d’OALabs attribuent à leurs partenaires de renseignement sur les menaces le mérite d’avoir Agence Loader Insight en aidant à cartographier, mettre en place une feuille de route d’attaque typique :
- La victime est infectée par Amadey.
- Amadey charge le malware StealC.
- Amadey charge le nettoyeur d’informations d’identification.
- Le nettoyeur d’informations d’identification lance le navigateur, en mode kiosque.
- La victime entre ses informations de connexion et celles-ci sont ensuite volées par le malware StealC.
Une nouvelle attaque de TrickMo a été détectée à l’aide de faux écrans de connexion et d’un récupérateur de code 2FA
Si la campagne de vidage des identifiants StealC n’était pas déjà assez grave, il semble que les utilisateurs de Chrome doivent s’inquiéter d’une autre menace de vol d’identifiants. Les chercheurs de l’équipe de renseignement sur les menaces de Cleafy, spécialiste de la détection des fraudes, ont identifié une nouvelle variante d’un cheval de Troie bancaire connu appelé TrickMo qui prétend maintenant être l’application de navigateur Web Google Chrome pour Android. Lors de l’installation de l’application malveillante, la victime verra un avertissement indiquant que Google Play doit être mis à jour et une boîte de dialogue avec un bouton de confirmation. Cela installe en fait une autre application appelée Google Services, qui demande, oui, vous l’avez deviné, des autorisations utilisateur. Guidant utilement l’utilisateur tout au long du processus, il lui demande d’activer les services d’accessibilité pour l’application. Une fois cela fait, cela donne aux attaquants les autorisations élevées requises pour intercepter les messages SMS et tous les codes à usage unique d’authentification à deux facteurs livrés de cette manière. TrickMo utilisera également une attaque par superposition HTML, affichant essentiellement un écran qui ressemble à une véritable connexion pour capturer les informations d’identification du compte.
Pour échapper aux fonctions de détection des logiciels malveillants des navigateurs et des appareils, la nouvelle variante de TrickMo utilisera une technique de fichiers d’archive Zip malformés, qui consiste à ajouter des répertoires portant le même nom que les fichiers système critiques. « Cette stratégie d’obscurcissement astucieuse peut amener une opération de décompression à écraser ces fichiers critiques, ce qui peut entraver l’analyse ultérieure », ont déclaré les chercheurs, ajoutant qu’elle rend également plus difficile pour les outils d’analyse automatisés utilisés par les cyberdéfenseurs d’examiner le contenu du fichier car la « structure malformée peut entraîner des erreurs ou des extractions incomplètes, ce qui complique considérablement le processus d’analyse ».
Comment atténuer les attaques en mode kiosque et les attaques TrickMo
Même si cela peut sembler être une tâche sisyphienne, il est toujours possible de quitter le mode kiosque sans accéder aux touches ESC ou F11 plus évidentes du clavier, comme Ordinateur bipant conseille.
Il est recommandé aux utilisateurs d’essayer les combinaisons de touches Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Suppr et Alt + Tab qui pourraient vous permettre d’accéder à votre bureau et de lancer le gestionnaire de tâches afin de fermer le navigateur Chrome de cette façon. Bleeping Computer suggère également d’utiliser la combinaison de touches Win + R pour ouvrir une invite de commande Windows à partir de laquelle Chrome peut être fermé avec « taskkill /IM chrome.exe /F ».
Enfin, il existe l’option radicale d’un arrêt par bouton d’alimentation. Si vous adoptez cette approche, assurez-vous de démarrer en mode sans échec avec la touche F8 et effectuez une analyse complète du système pour détecter l’infection par le logiciel malveillant afin d’éviter qu’elle ne se reproduise. Malwarebytes dispose d’un scanner de logiciels malveillants gratuit ce qui peut aider à ce nettoyage du système.
Pour atténuer une attaque utilisant la dernière variante de TrickMo, le conseil est simple et souvent répété : ne téléchargez pas de logiciel Android à partir d’une source autre que le Play Store officiel.