A kreatív kiberbűnözők egyre kifinomultabb, ötletesebb, szokatlanabb trükköket vetnek be annak érdekében, hogy a gyanútlan felhasználóktól sikeresen kicsalják különböző bejelentkezési adataikat, bankkártya-adataikat, vagy egyéb olyan adatokat, amelyekből valamilyen módon pénzt lehet szerezni.
Az egyik legújabb módszer a StealeC névre keresztelt malware köré épül és igen kreatív: a malware segítségével teljes képernyős módban zárolják az adott rendszer alapértelmezett webböngészőjét, letiltják a kilépéshez szükséges „ESC” vagy „F11” billentyűket, és a felhasználót átirányítják a Google Fiók jelszavának módosításához szükséges weboldalra. Itt megpróbálják elérni, hogy az egyre frusztráltabbá váló delikvens megadja jelenlegi jelszavát, és esetleg módosítsa is azt, majd ha ezzel megvan a felhasználó és meg is engedi a webböngésző számára, hogy mentse a jelszót, a StealC malware meg is szerzi azt, majd továbbítja a kiberbűnözők által menedzselt szerverre.
A teljes képernyős mód jelen esetben az úgynevezett „kioszk” módot takarja, amelynél elérhetetlenné válik a webböngésző címsora, illetve a menü különböző elemei is, hiszen ezt a módot arra találták ki, hogy olyan eszközökön használják, ahol bizonyos lapokra és funkciókra kell korlátozni a felhasználói hozzáférést, például információs pontoknál, bemutató termináloknál, illetve egyéb helyeken.
Ebből a módból természetesen nemcsak a fentebb említett, de a malware által letiltott billentyűk segítségével lehet kilépni, hanem alternatív módszerekkel is, ezek az alábbiak:
- Alt+F4: Bezárja az aktuális webböngésző-ablakot
- Alt+Tab: Lehetővé teszi az ablakváltást, így akár az Asztal is elérhető lehet
- CTRL+SHIT+ESCAPE: Elérhetővé teszi a Feladatkezelőt, ahol az alapértelmezett webböngésző folyamatát könnyedén leállíthatjuk
- CTRL+ALT+DEL: Ezen keresztül szintén elérhető a Feladatkezelő a fentebb említett célra
- Win+R: Előhozza a Futtatás parancsot, ahol a taskmgr paranccsal szintén elérhető a Feladatkezelő
Alternatív módon parancssorból, a CMD.exe futtatásával is le lehet állítani az adott webböngészőt, ehhez a „taskkill /IM chrome.exe /F” parancsot kell megadni, természetesen idézőjelek nélkül, ha a Chrome az alapértelmezett webböngésző, míg Edge esetén a futtatható állomány nevét msedge.exe, Brave esetén brave.exe, Firefox esetén pedig firefox.exe névre kell cserélni.
Ha ez mind nem működne, akkor a gépet erőltetett kikapcsolással, a bekapcsoló gomb hosszú megnyomásával deaktiválhatjuk, ami viszont adatvesztést eredményezhet. A rendszert minden esetben érdemes újraindítani, akárhogy is szabadultunk meg a kioszk módtól, az újraindítás során érdemes az F8 billentyű lenyomásával Csökkentett Módot választani, majd a rendelkezésre álló virusírtó segítségével meg kell próbálni eltávolítani a StealC malware-t.
A kreatív támadással már legalább 2024. augusztus 22-e óta próbálkoznak világszerte, a módszert eredetileg az OALABS kutatói fedezték fel, akik részletesen dokumentálták is azt, mi mindent művel a háttérben dolgozó kód. A StealC malware az Amadey névre keresztelt eszközzel telepítik, ami egyebek mellett malware betöltésére is használható, majd ezen keresztül egy AutoIt szkript indul el, ami a fentebb említett kioszk módot aktiválja, letiltja az „ESC” és az „F11” billentyűket, valamint a kiberbűnöző által kívánt felhasználói fiók bejelentkező képernyőjét jeleníti meg az adott eszközön. Ha itt megadjuk adatainkat és mentjük is azokat az adott webböngészőbe, már csapdába is estünk.
Az indokolatlanul megjelenő teljes képernyős mód, amiben egy adott szolgáltatás bejelentkező ablaka jelenik meg, jellemzően a Google Fióké, gyanút kell, hogy ébresszen. Ekkor érdemes mindenképpen kilépni az adott webböngészőből és elkezdeni a vírusirtást, természetesen csökkentett módban.
