Kiosk

あるマルウェア・キャンペーンが、ブラウザのキオスク・モードにユーザーをロックするという珍しい方法を用いて、Googleの認証情報を入力させ、それを情報窃取マルウェアに盗み出すというものだ。

具体的には、このマルウェアはユーザーのブラウザをグーグルのログイン・ページに「ロック」し、「ESC」と「F11」のキーボード・キーもブロックするため、ウィンドウを閉じる明らかな方法はない。その目的は、ユーザーを十分に苛立たせ、ブラウザにGoogleの認証情報を入力して保存させ、コンピューターの「ロックを解除」させることだ。

認証情報が保存されると、情報窃取マルウェアStealCは認証情報ストアから認証情報を盗み出し、攻撃者に送り返します。

キオスクモードの窃盗

この特異な攻撃手法を発見したOALABSの研究者によると、この攻撃手法は少なくとも2024年8月22日以降、主に2018年にハッカーによって初めて展開されたマルウェアローダー、情報窃取ツール、システム偵察ツールであるAmadeyによって、野放し状態で使用されている。

Amadeyは起動すると、資格情報フラッシャーとして機能するAutoItスクリプトを展開し、感染したマシンで利用可能なブラウザをスキャンし、指定されたURLへキオスクモードでブラウザを起動します。

Script part that launches Chrome or Edge in kiosk mode
GoogleのログインURLで、ChromeまたはEdgeをキオスクモードで起動するスクリプト部分
Source:OALABS

このスクリプトは、被害者のブラウザのF11キーとEscapeキーの無視パラメータも設定し、キオスクモードからの容易な脱出を防ぎます。

Part that sets the browser to ignore presses of F11 and Esc keys
F11キーとEscキーの押下を無視する
出典:OALABS:OALABS

キオスクモードとは、ツールバーやアドレスバー、ナビゲーションボタンのような標準的なユーザーインターフェイス要素を使用せず、フルスクリーンモードで実行するためにウェブブラウザやアプリで使用される特別な設定です。ユーザーの操作を特定の機能に限定するように設計されているため、公共のキオスク端末やデモ端末などに最適です。

しかし、このAmadey攻撃では、キオスク・モードが悪用され、ユーザーの行動を制限し、ログイン・ページに限定しています。

この攻撃では、キオスク・モードがhttps://accounts.google.com/ServiceLogin?service=accountsettings&continue=https://myaccount.google.com/signinoptions/password、Googleアカウントのパスワード変更URLに対応する。

Googleはパスワードを変更する前に再入力を要求するため、ユーザが再認証する機会を提供し、プロンプトが表示されたときにブラウザにパスワードを保存する可能性があります。

What the victim sees on their computer
被害者がコンピュータ上で見るもの
ソースはこちら:OALABS

被害者がページ上で入力し、プロンプトが表示されたときにブラウザに保存した認証情報はすべて、2023 年初頭に発売された軽量で汎用性の高い情報窃取ツール、StealC によって窃取されます。

キオスクモードの終了

EscとF11を押しても何もできず、キオスクモードにロックされるという不運な状況に陥ったユーザーは、イライラを抑え、フォームに機密情報を入力しないようにしましょう。

その代わりに、「Alt + F4」、「Ctrl + Shift + Esc」、「Ctrl + Alt + Delete」、「Alt + Tab」といった他のホットキーコンボを試してみよう。

これらは、デスクトップをフォアグラウンドにしたり、開いているアプリを循環させたり、タスクマネージャーを起動してブラウザを終了(End Task)させるのに役立つかもしれません。

Winキー + R」を押すと、Windowsコマンドプロンプトが開きます。cmd」と入力し、「taskkill /IM chrome.exe /F」でChromeを終了します。

すべて失敗した場合は、コンピュータがシャットダウンするまで電源ボタンを押し続けることで、いつでもハードリセットを実行できます。この場合、保存されていない作業が失われる可能性がありますが、それでもアカウント情報を盗まれるよりはマシなはずです。

再起動する際は、F8キーを押し、セーフモードを選択し、OSに戻ったら、完全なウイルス対策スキャンを実行し、マルウェアを見つけて削除する。自発的なキオスクモードのブラウザ起動は正常ではないので、無視すべきではありません。