Cybersicherheitsexperten haben eine neuartige Malware-Kampagne aufgedeckt, die den Kiosk-Modus von Webbrowsern missbraucht, um Anmeldedaten von ahnungslosen Nutzern zu stehlen. Diese ausgeklügelte Angriffsmethode, die seit August 2024 beobachtet wird, kombiniert einen Browser-Locker mit einem Infostealer und stellt eine ernsthafte Bedrohung für die digitale Sicherheit dar.
Funktionsweise des Browser-Lockers
Der Angriff beginnt mit der Infektion des Opfersystems durch den Amadey-Malware-Loader. Nach der Infiltration führt Amadey ein AutoIt-Skript aus, das nach installierten Browsern sucht und einen davon im Kiosk-Modus startet. Dieser Modus, normalerweise für öffentliche Terminals oder Demonstrationsgeräte gedacht, wird hier zweckentfremdet, um die Nutzerinteraktion stark einzuschränken.
Das Skript navigiert den Browser zu einer gefälschten Google-Anmeldeseite und blockiert die Tasten F11 und Escape, um ein einfaches Verlassen des Vollbildmodus zu verhindern. Dadurch wird der Nutzer gezwungen, seine Anmeldedaten einzugeben, um vermeintlich Zugriff auf sein Konto zu erhalten.
Credential-Diebstahl durch StealC
Sobald der Nutzer seine Anmeldedaten eingibt und im Browser speichert, kommt der Infostealer StealC zum Einsatz. Diese Malware-Komponente extrahiert die gespeicherten Zugangsdaten und übermittelt sie an die Angreifer. Die Kombination aus Browser-Locker und Infostealer macht diesen Angriff besonders gefährlich, da sie sowohl die Eingabe als auch den Diebstahl der Anmeldeinformationen in einem Vorgang vereint.
Schutzmaßnahmen und Gegenstrategien
Trotz der Raffinesse des Angriffs gibt es Möglichkeiten, sich zu schützen:
- Alternative Tastenkombinationen wie Alt + F4 oder Ctrl + Alt + Delete können helfen, den Kiosk-Modus zu verlassen.
- Die Nutzung des Task-Managers zum Beenden des Browsers ist eine weitere Option.
- In extremen Fällen kann ein erzwungenes Herunterfahren des Systems durch langes Drücken des Power-Buttons notwendig sein.
Experten empfehlen nach einem solchen Vorfall dringend, im abgesicherten Modus zu starten und eine gründliche Antiviren-Prüfung durchzuführen, um die Malware zu entfernen. Regelmäßige Software-Updates, starke Passwörter und Vorsicht beim Öffnen verdächtiger E-Mails oder Links sind entscheidend, um solche Angriffe von vornherein zu verhindern.
Diese neue Form des Browser-Lockers unterstreicht die ständige Evolution von Cyber-Bedrohungen. Unternehmen und Privatpersonen müssen wachsam bleiben und ihre Sicherheitsmaßnahmen kontinuierlich anpassen, um sich vor solch raffinierten Angriffen zu schützen. Die Cybersicherheitsbranche steht vor der Herausforderung, innovative Lösungen zu entwickeln, die solche fortschrittlichen Malware-Techniken effektiv bekämpfen können.