พบมัลแวร์ประหลาด ล็อกเบราว์เซอร์เหยื่อในโหมด Kiosk เพื่อขโมยข้อมูลล็อกอิน Google
หลายคนอาจไม่เคยทราบมาก่อนว่าระบบปฏิบัติการอย่าง Windows และเว็บเบราว์เซอร์ต่าง ๆ นั้นมีระบบ Kiosk Mode ที่เปิดโอกาสให้ผู้ใช้งานสามารถนำไปใช้กับตู้ Kiosk เวลาไปออกงานได้ด้วย และนี่ก็ได้กลายมาเป็นมุขใหม่ของแฮกเกอร์ในการนำมาใช้สร้างความรำคาญเพื่อการขโมยรหัสผ่านของเหยื่อ
จากรายงานโดยเว็บไซต์ Bleeping Computer ทางทีมวิจัยจาก OALABS ซึ่งเป็นกลุ่มนักวิจัยผู้เชี่ยวชาญด้านมัลแวร์ และภัยไซเบอร์ ได้มีการตรวจพบวิธีการใหม่ของกลุ่มแฮกเกอร์ที่มีการใช้มัลแวร์นกต่อ (Loader) อย่าง Amadey เพื่อดาวน์โหลดมัลแวร์ตัวจริงอย่าง Steal-C ซึ่งเป็นมัลแวร์สำหรับการขโมยข้อมูล (Inforstealer) ของเหยื่อ รวมทั้งช่วยสนับสนุนการขโมยข้อมูลของมัลแวร์ตัวดังกล่าวด้วยการทำการค้นหา และเปิดเว็บเบราว์เซอร์ที่มีอยู่บนเครื่องขึ้นมา แล้วทำการล็อกให้ไม่สามารถปิดด้วยวิธีการทั่วไปได้ เพื่อหลอกล่อให้เหยื่อใส่รหัสผ่านของ Google เพื่อทำการขโมย
โดยตัวมัลแวร์ Amadey นั้น หลังจากถูกติดตั้งลงสู่เครื่องแล้ว ก็จะทำการรันสคริปท์ AutoIt ขึ้นมาเพื่อค้นหาเว็บเบราว์เซอร์ (เช่น Chrome) เพื่อเปิดขึ้นมาใน Kiosk Mode ซึ่งเป็นโหมดพิเศษสำหรับตู้ Kiosk ที่เมื่อเปิดแล้วเว็บเบราว์เซอร์จะทำงานแบบเต็มจอ (Full-Screen) โดยตัด Interface ที่จำเป็นสำหรับผู้ใช้งานอื่น ๆ ออกไป อย่างเช่น Toolbar และ Address Bar เป็นต้น พร้อมทั้งล็อกไม่ให้เหยื่อสามารถปิดด้วยปุ่ม ESC หรือ F11 ได้ รวมทั้งทำการเปิดหน้าสำหรับล็อกอินเข้าระบบปลอมขึ้นมา เพื่อหลอกให้เหยื่อทำการใส่รหัสผ่าน โดยถ้าเหยื่อหลงเชื่อ ก็จะถูกขโมยรหัสผ่านเพื่อใช้งานบัญชี Google ในท้ายที่สุด
ภาพจาก https://www.bleepingcomputer.com/news/security/malware-locks-browser-in-kiosk-mode-to-steal-google-credentials/
ซึ่งทางทีมวิจัยได้แนะนำให้รับมือด้วยการออกจาก Kiosk Mode ด้วยการใช้ปุ่ม Hotkey อื่น ๆ แทน ESC และ F11 เช่น "Alt + F4", "Ctrl + Shift + Esc", "Ctrl + Alt +Delete" หรือ "Alt +Tab"
ซึ่งการกดปุ่มดังกล่าวจะเป็นการสลับหน้าจอออกมาที่ Windows โดยทางทีมวิจัยแนะนำให้เปิด Task Manager ขึ้นมาเพื่อปิดการทำงานของเว็บเบราว์เซอร์ลง หรืออาจใช้วิธีการปิดการทำงานผ่านทาง Command Prompt ด้วยคำสั่ง "taskkill /IM chrome.exe /F" (ในกรณีของ Chrome) เพื่อปิดเว็บเบราว์เซอร์
แต่ในกรณีที่ร้ายแรง และวิธีการข้างต้นไม่ได้ผล ทางทีมวิจัยแนะนำให้ทำการปิดเครื่องในทันที โดยหลังจากที่รีบูทเครื่องเรียบร้อยแล้ว ทางทีมวิจัยแนะนำให้ทำการเข้า Safe Mode โดยการกดปุ่ม F8 ระหว่างรีบูท เพื่อเข้าโหมดดังกล่าว แล้วใช้แอนตี้ไวรัสที่มีอยู่บนเครื่องเพื่อจัดการกับมัลแวร์