사이버 보안 연구자들이 최근 사람들의 구글 로그인 자격 증명을 빼내기 위해 지루하게 만드는 새로운 악성코드를 발견함.
이것은 특이한 전술로, 그 효과에 대한 명확한 통계는 없음. 어쨌든 이 악성코드는 특정 이름이 없지만 Amadey 악성코드 로더의 일부임. OALABS의 사이버 보안 연구자들이 발견했으며, 이 캠페인은 올해 8월 말부터 활동 중이라고 주장함.
이름 없는 악성코드(자동화 스크립트 형태로 제공됨) 외에도 로더는 공격에 사용되는 StealC 정보 탈취기도 배포함.
악성코드가 장치에 감염되면 브라우저를 키오스크 모드로 실행함. 이 모드는 주소 표시줄, 도구 모음, 메뉴와 같은 사용자 인터페이스 요소 없이 전체 화면 모드로 브라우저를 실행할 수 있게 해줌. 일반적으로 공공장소나 제한된 환경에서 사용되며, 사용자가 특정 웹사이트나 웹 애플리케이션에 접근할 수 있도록 제한된 기능만 제공함.
그 후, 브라우저는 사용자가 구글 비밀번호를 재설정하기 위해 가는 페이지를 강제로 방문하게 함. 이 페이지는 먼저 사용자가 이전 비밀번호를 입력해야 하며, 이 과정에서 StealC 정보 탈취기가 비밀번호를 가로채어 공격자에게 전달함.
브라우저를 키오스크 모드로 열고 피해자가 탐색 표시줄에 접근하지 못하게 하는 것 외에도, 악성코드는 Escape 및 F11 키를 비활성화함. 그래서 기술에 익숙하지 않은 컴퓨터 사용자들은 구글 화면을 넘기기 위해 로그인 자격 증명을 입력해야 한다고 생각하게 됨.
하지만 사실은 그렇지 않으며, 브라우저는 ALT+TAB, CTRL+ALT+DEL, ALT+F4와 같은 여러 키보드 단축키로 쉽게 우회할 수 있음. 또는 전원 버튼을 누르거나 PC의 경우 전원을 뽑는 방법으로도 재부팅할 수 있음. 이러한 대안들은 범죄자에게 로그인 자격 증명을 주는 것보다 훨씬 나음.
