كشفت دراسة بحثية حديثة عن طريقة جديدة يتبعها قراصنة الإنترنت للاحتيال على متصفحي Chrome بهدف الحصول على كلمات المرور السرية الخاصة بحساباتهم على غوغل.
وبحسب ما نشرته “فوربس” فإن عملية سرقة البيانات تعتمد على أحد البرامج الضارة المعروف باسم StealC، والذي يعمل على قفل متصفح المستخدم وتحويله لوضع Kiosk.
ويحصر الوضع الجديد المستخدم من خلال حظر استخدامه لمفتاحي F11 وESC لمنعه من الهروب من وضع ملء الشاشة.
ولا يكون أمام المستخدم على الشاشة سوى نافذة تسجيل الدخول لحساب غوغل لإلغاء قفل الشاشة، بحسب ما اكتشفه الباحثون.
إزعاج الضحية
يقول خبراء التقنية إن القراصنة اعتادوا على أساليب مختلفة لسرقة كلمات المرور المشفرة أو الحصول على إذن لقراءة رسائل SMS ولكن الطريق الحديثة تختلف.
وأشاروا إلى أن المحتالين يتعمدون “إزعاج الضحية” من خلال برنامج StealC، والذي يستخدم أبسط وأسهل طريقة للحصول على بيانات غوغل.
وتُستخدم تلك التقنية منذ 22 أغسطس الماضي على الأقل، حسبما قال باحثو Open Analysis Lab.
ووفق تحليل أجراه الباحثون، قال إن الطريقة الحديثة تُجبر المستخدم على إدخال بيانات المتصفح الخاصة به، ومن ثم يمكن سرقتها من خلال البرامج الضارة.
ويقول الخبراء إن تنفيذ عملية القراصنة بأكملها لن يتم إلا باستخدام أداة الاختراق Amadey، وهي أداة تُستخدم منذ أكثر من 6 سنوات بعد أن نشرها المتسللون لأول مرة في 2018.
ومن خلال Amadey يتم تحميل البرامج الضارة، ويتم الهجوم عن طريق خطوات محددة وهي:
*يقوم Amadey بتحميل البرنامج الخبيث StealC.
*تحميل برنامج تدفق بيانات الاعتماد.
*يقوم برنامج تنظيف بيانات الاعتماد بتشغيل المتصفح، في وضع Kiosk.
*يقوم الضحية بإدخال تفاصيل تسجيل الدخول الخاصة به ثم تتم سرقتها بواسطة برنامج StealC الخبيث.
ويُرجع باحثو OALabs الفضل في رسم خريطة الهجوم تلك إلى شركاء استخبارات التهديدات في Loader Insight Agency.
“حصان طروادة المصرفي”
بخلاف أداة سرقة البيانات StealC، عثر الباحثون على تهديد آخر باستخدام فيروس TrickMo، والذي يعمل على إظهار شاشات تسجيل دخول مزيفة لمستخدمي Chrome.
وبحسب فريق استخبارات التهديدات في شركة Cleafy، فإن TrickMo المعروف باسم “حصان طروادة المصرفي” يتظاهر بأنه متصفح غوغل كروم لنظام Android.
وبمجرد تثبيت التطبيق، سيظهر للضحية تحذيرًا من أن “غوغل بلاي” يحتاج إلى تحديث، وسيكون هناك زر تأكيد للضغط عليه.
وبعد أن يضغط المستخدم، سيقوم الجهاز بتثبيت تطبيق آخر يسمى Google Services، وسيطلب من المستخدم إدخال كلمات المرور.
وحال قيام المستخدم بتلك الخطوة، سيمنح ذلك المهاجمين الإذن لاعتراض رسائل SMS والاطلاع على أي رموز أخرى.
ويمكن للفيروس أن يعرض شاشة أخرى لتسجيل الدخول يبدو وكأنه حقيقي، وسيمكنه من خلاله التقاط البيانات المصرفية.
كيف يمكن تجنب عمليات الاحتيال؟
في حين أن الأمر يبدو صعبًا، إلا أن المستخدم يمكنه التخفيف من حدة الهجمات في وضع Kiosk وكذلك هجمات TrickMo.
وسيكون بمقدور المستخدم الخروج من وضع ملء الشاشة دون استخدام مفاتيح ESC أو F11 الأكثر وضوحًا على لوحة المفاتيح، كما تنصح Bleeping Computer.
ويُنصح المستخدمون بتجربة مجموعات المفاتيح السريعة Alt + F4، وCtrl + Shift + Esc، وCtrl + Alt + Delete، وAlt + Tab.
ومن خلال تلك الخطوات سيتمكن المستخدم من الوصول إلى سطح المكتب والاستعانة بإدارة المهام لوقف تشغيل متصفح Chrome.
وبحسبBleeping Computer، يمكن أيضًا استخدام مجموعة مفاتيح Win + R لفتح موجه أوامر Windows حيث يمكن إيقاف تشغيل Chrome باستخدام “taskkill /IM chrome.exe /F”.
وكحل أخير، يمكن الاستعانة بفصل الطاقة عن الجهاز من خلال زر الطاقة، ولكن لا بد معن البدء مرة أخرى في التأكد من تشغيل الجهاز في الوضع الآمن من خلال مفتاح F8.
وسيتعين على المستخدم أيضًا إجراء فحص شامل للنظام للتأكد من خلوه من أي برامج ضارة أو فيروسات.
المصدر: فوربس