image

Malware gebruikt kioskmode van browser om inloggegevens te stelen

maandag 16 september 2024, 11:38 door Redactie, 6 reacties

Cybercriminelen gebruiken de kioskmode van browsers om zo inloggegevens van gebruikers te stelen, zo waarschuwen onderzoekers van OALabs. De kioskmode zorgt ervoor dat een opgegeven pagina fullscreen wordt geladen en de gebruiker die niet eenvoudig kan sluiten. Criminelen maken hier misbruik van door op een besmet systeem een bepaalde inlogpagina, vaak die van Google, in de kioskmode te laden, aldus de onderzoekers.

Slachtoffers kunnen denken dat ze hun inloggegevens moeten invoeren om de pagina te sluiten. De ingevoerde gebruikersnaam en wachtwoord kunnen vervolgens worden gestolen. De malware heeft het niet op één specifieke browser voorzien, maar kijkt naar welke browsers op het systeem aanwezig zijn, om die vervolgens in de kioskmode op te starten. Daarbij worden ook parameters opgegeven om het sluiten van de kioskmode via de F11- en Escape-knoppen te voorkomen. Er zijn echter nog wel andere toetsencombinaties waarmee gebruikers de browser kunnen sluiten.

Reacties (6)
16-09-2024, 11:53 door Anoniem
Er zijn echter nog wel andere toetsencombinaties waarmee gebruikers de browser kunnen sluiten.
Voor de niet al wetende onder ons, welke combinaties zou een gebruiker dan kunnen gebruiken?
16-09-2024, 11:58 door Anoniem
Het gaat dus alleen om Windows systemen?
16-09-2024, 14:21 door _R0N_
Door Anoniem: Het gaat dus alleen om Windows systemen?

Nee, in principe alle Chromium based browsers.
The technique involves launching the victim's browser in kiosk mode and navigating to the login page of the targeted service, usually Google. Kiosk mode forces the browser into full-screen mode and prevents the victim from closing or navigating away from the webpage. This tactic annoys the victim into entering their credentials in an attempt to close the window. Once the credentials are entered, they are stored in the browser's credential store on disk and can be stolen using stealer malware, which is deployed along with the credential flusher.
16-09-2024, 16:10 door Anoniem
Door Anoniem: Het gaat dus alleen om Windows systemen?
Klopt, het gaat om gebruikers die al geinfecteerd zijn met bepaalde windows malware (amaday), het systeem is dus al gecompromitteerd.
16-09-2024, 16:27 door Briolet - Bijgewerkt: 16-09-2024, 16:28
Door _R0N_:
Door Anoniem: Het gaat dus alleen om Windows systemen?

Nee, in principe alle Chromium based browsers.

Klopt niet, want de mac versie van Chrome kent geen "Kiosk Mode". Ook als ik een handleiding volg om dit voor een windows computer in te stellen, missen bij mijn mac versie van Chrome de noodzakelijke opties die ik wel bij windows zie.

Zie ook: https://apple.stackexchange.com/questions/14277/how-to-kiosk-mode-a-web-page-osx-chrome
16-09-2024, 18:12 door Anoniem
Door _R0N_:
Door Anoniem: Het gaat dus alleen om Windows systemen?

Nee, in principe alle Chromium based browsers.
Chromium based browser hebben op Windows de vervelende eigenschap by default op de achtergrond te draaien. Naast de setting in de browser, moet je dat -indien ongewenst- uitschakelen in de services en/of registry van Windows. Want Windows' task manager is ontoereikend. Na elke update van de browser opnieuw het ritueel(tje).

Een enorme aanvalsvlak, wou ik maar zeggen...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.