Au cours du mois d’aout 2024, des cybercriminels se sont mis à utiliser « une nouvelle technique » pour voler les identifiants Google des internautes, révèlent les chercheurs d’OALABS. Dans un premier temps, les pirates doivent trouver un moyen de glisser un malware appelé Amadey sur l’ordinateur de leurs cibles. Il s’agit d’un logiciel malveillant taillé pour collecter des informations sur les systèmes infectés et pour télécharger d’autres virus. Apparu en 2018, le malware est souvent utilisé dans des campagnes de phishing dans lesquelles les victimes sont incitées à télécharger des fichiers frauduleux.
Pour parvenir à propager Amadey, les pirates cachent le virus dans des mails ou des SMS. Une fois qu’Amadey est parvenu est s’infiltrer sur l’ordinateur, il va exécuter un script AutoIt, un langage de programmation utilisé pour automatiser des tâches sur Windows. Celui-ci va analyser l’ordinateur infecté pour repérer les navigateurs installés.
À lire aussi : Le danger des pubs Google – un malware se cache dans les résultats de recherche
Le mode kiosque pour agacer les internautes
Ensuite, le script va « lancer le navigateur de la victime en mode kiosque ». Le mode kiosque est un mode de navigation bien particulier dans lequel la fenêtre s’affiche en plein écran, sans barres d’outils, ni boutons de navigation, ni onglets. L’utilisateur est donc l’impossibilité de fermer facilement le navigateur ou de naviguer ailleurs. Ce mode est généralement utilisé sur les bornes interactives, comme les guichets automatiques ou les écrans d’information, pour limiter ce que l’utilisateur peut faire avec le terminal.
En parallèle, le script déployé par Amadey va bloquer les touches ESC (Échap), qui permet d’annuler une action ou fermer une fenêtre, un menu ou un mode plein écran, et F11, également programmé pour activer ou de désactiver le mode plein écran dans la plupart des navigateurs. De facto, l’utilisateur est bloqué. Il ne peut pas échapper au navigateur.
Les pirates vont alors afficher une page de connexion Google à l’écran. Agacés par le mode kiosque, les internautes sont plus enclins à entrer mécaniquement leurs identifiants Google dans l’espoir de pouvoir reprendre le contrôle sur leur navigateur. Comme l’explique le rapport, la tactique vise à « faire pression sur la victime afin qu’elle saisisse ses informations d’identification ». C’est là que le piège se referme.
Les pirates ouvrent le navigateur sur l’URL de changement de mot de passe pour les comptes Google. Les usagers, coincés par le mode kiosque, vont accepter de modifier leur mot de passe sans faire d’histoire. Comme toujours, Google vous demande de confirmer votre mot de passe avant de le changer. Cela donne au navigateur la possibilité de mémoriser ce mot de passe pour les connexions futures. Si l’internaute accepte, le mot de passe est enregistré par le navigateur.
Sur la même thématique :
Des données volées dans la mémoire du navigateur
Une fois que les identifiants sont entrés dans le navigateur, ils sont en fait enregistrés dans la mémoire du navigateur réservée aux identifiants. Cette fonction permet de les réutiliser plus tard sans devoir les retaper. Ces informations peuvent dès lors être volées par un logiciel malveillant spécialisé dans le vol de données… et les pirates en ont bien conscience.
Pour aspirer les données qu’ils recherchent, les cybercriminels ont programmé Amadey afin qu’il installe un autre malware sur la machine infectée. L’attaque s’appuie en effet sur StealC, un infostealer, pour récupérer les données stockées dans la mémoire du navigateur. Les infostealers sont des malwares spécialement conçus pour collecter des informations telles que les identifiants de connexion (noms d’utilisateur et mots de passe), les données bancaires, ou les informations personnelles des utilisateurs. Repéré l’année dernière, StealC est surtout destiné au vol d’informations stockées dans les navigateurs, comme les cookies ou les identifiants. Au terme de la cyberattaque, les hackers parviennent donc à s’emparer des identifiants Google de leur cible.
Comment échapper au piège ?
Si vous vous retrouvez coincé face à un navigateur bloqué sur le mode kiosque, on vous invite tout d’abord à garder votre calme. Surtout, ne cédez pas à la tentation de changer votre mot de passe Google uniquement pour débloquer votre ordinateur. Prenez plutôt le temps de tester les raccourcis clavier ci-dessous, conseille Bleeping Computer. Ils offrent plusieurs options pour échapper au piège tendu par les hackers :
- Alt + F4 : Il sert à fermer la fenêtre active ou le programme en cours.
- Ctrl + Shift + Esc : Ce raccourci ouvre directement le Gestionnaire des tâches, où vous pourrez fermer le navigateur récalcitrant.
- Ctrl + Alt + Delete : Ce raccourci affiche un écran de sécurité avec des options comme verrouiller l’ordinateur, changer d’utilisateur, déconnecter la session, accéder au Gestionnaire des tâches, ou éteindre/redémarrer l’ordinateur.
- Alt + Tab : le raccourci permet de basculer entre les différentes fenêtres ouvertes sur Windows.
Si ces solutions ne marchent pas, il est toujours possible de communiquer avec le système d’exploitation en passant par l’invite de commande Windows (aussi appelée cmd ou Command Prompt). Pour ça, vous devez taper sur la touche Windows+R. Une fois que c’est fait, entrez la commande « taskkill /IM chrome.exe /F » pour forcer la fermeture de Google Chrome. Si vous utilisez un autre navigateur, changez simplement Chrome par le nom de celui-ci.
Enfin, il existe un dernier recours si vous le navigateur reste bloqué sur le mode kiosque. Vous pouvez en effet forcer l’extinction et le redémarrage de votre ordinateur en appuyant sur le bouton d’alimentation. N’hésitez pas à scanner l’intégralité de votre machine avec un antivirus par la suite. Le démarrage du mode kiosque n’est pas anodin. C’est en effet peut-être le signe qu’un malware se balade sur votre PC.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : OALABS
