Pesquisadores da OALABS reportaram a descoberta de uma técnica simples, mas engenhosa, que vem sendo usada para captura de credenciais de contas no Google: um malware que faz o Chrome funcionar apenas em tela cheia e exibir uma página falsa com campos de login e senha.
O truque envolve o chamado Modo Quiosque do Chrome. Trata-se de uma configuração que faz o navegador do Google operar somente em tela cheia. Isso é útil para permitir que o computador seja usado como um painel de informações em locais públicos, por exemplo.
A ação maliciosa começa com o uso de um malware chamado Amadey. Este carrega outro malware, o StealC. Na sequência, o Amadey altera o Chrome para funcionar em Modo Quiosque e exibir uma página de login do Google.
Mas essa página é falsa. Se o usuário inserir os seus dados de login nessa página, essas informações poderão ser capturadas pelo StealC e, a partir daí, cair nas mãos dos agentes responsáveis pela ação.
Como a página é exibida em Modo Quiosque, o usuário não consegue checar o endereço acessado, muito menos sair do site pelas vias convencionais — pressionando Esc no teclado, por exemplo. A pessoa pode então acreditar que fazer login é a única forma de resolver o problema. É isso o que os hackers responsáveis querem que aconteça.
Há formas de sair do Modo Quiosque. Atalhos de teclado como Alt + F4 (para fechar o navegador) ou Ctrl + Alt + Delete (exibe uma tela de opções) tendem a funcionar para isso. O problema é que esses atalhos podem ser desconhecidos para usuários com pouco conhecimento do Windows.
Ação maliciosa começou em agosto
De acordo com a OALABS, a ação maliciosa envolvendo o Modo Quiosque do Chrome está curso pelo menos desde 22 de agosto de 2024. A boa notícia é que há poucos relatos sobre o problema.
É possível que antivírus estejam barrando o Amadey, dado que as suas variações estão em circulação desde 2018. Já o StealC existe pelo menos desde o início de 2023. Portanto, ambas as pragas já são conhecidas pelas companhias de segurança.
De todo modo, fica valendo a clássica orientação: tome cuidado com os arquivos que você baixa da internet ou recebe por e-mail, WhatsApp e afins.
Hackers usam modo de tela cheia do Chrome para invadir contas no Google
