Kreative Cyberkriminelle wenden immer ausgefeiltere, raffiniertere und ungewöhnlichere Tricks an, um ahnungslose Benutzer dazu zu bringen, ihre Anmeldedaten, Kreditkartendaten oder andere Informationen preiszugeben, mit denen sie auf irgendeine Weise Geld verdienen können.
Eine der neuesten Methoden basiert auf einer Malware namens StealeC und ist sehr kreativ: Die Malware wird eingesetzt, um den Standard-Webbrowser auf dem System im Vollbildmodus zu sperren, die Tasten "ESC" oder "F11" zum Beenden zu deaktivieren und den Benutzer auf eine Webseite umzuleiten, auf der er das Passwort für sein Google-Konto ändern kann. Hier versuchen sie, den zunehmend frustrierten Delinquenten dazu zu bringen, sein aktuelles Passwort einzugeben und es möglicherweise zu ändern. Sobald der Benutzer dies getan und dem Webbrowser erlaubt hat, das Passwort zu speichern, erhält die StealC-Malware es und leitet es an einen von den Cyberkriminellen verwalteten Server weiter.
Der Vollbildmodus bezieht sich in diesem Fall auf den so genannten "Kiosk"-Modus, bei dem die Adressleiste des Webbrowsers und verschiedene Menüpunkte unzugänglich sind, da dieser Modus für Geräte gedacht ist, bei denen der Zugriff des Benutzers auf bestimmte Seiten und Funktionen eingeschränkt werden muss, wie z. B. an Informationsstellen, Präsentationsterminals und anderen Orten.
Dieser Modus kann natürlich nicht nur über die oben erwähnten Tasten verlassen werden, die von der Malware deaktiviert werden, sondern auch über alternative Methoden, wie z. B. die folgenden:
- Alt+F4: Schließt das aktuelle Webbrowser-Fenster
- Alt+Tab: Ermöglicht das Wechseln von Fenstern, so dass Sie sogar auf den Desktop zugreifen können
- CTRL+SHIT+ESCAPE: Macht den Task-Manager verfügbar, in dem der Standard-Webbrowser-Prozess einfach gestoppt werden kann
- STRG+ALT+Entf: Ermöglicht ebenfalls den Zugriff auf den Task-Manager für den oben genannten Zweck
- Win+R: Ruft den Befehl Ausführen auf, wobei der Task-Manager auch über den Befehl taskmgr verfügbar ist
Alternativ ist es auch möglich, einen bestimmten Webbrowser über die Befehlszeile mit CMD.exe zu beenden, indem Sie "taskkill /IM chrome.exe /F" eingeben, natürlich ohne Anführungszeichen, wenn Chrome der Standard-Webbrowser ist, während für Edge der Name der ausführbaren Datei in msedge.exe, für Brave in brave.exe und für Firefox in firefox.exe geändert werden sollte.
Wenn all dies nicht funktioniert, können Sie das Gerät durch gewaltsames Ausschalten und langes Drücken des Netzschalters deaktivieren, was jedoch zu Datenverlust führen kann. In jedem Fall lohnt es sich, das System neu zu starten, wie auch immer Sie den Kioskmodus losgeworden sind, Sie sollten den abgesicherten Modus auswählen, indem Sie während des Neustarts F8 drücken, und dann versuchen, die StealC-Malware mit dem verfügbaren Viruskiller zu entfernen.
Der kreative Angriff wird seit mindestens dem 22. August 2024 weltweit durchgeführt und wurde ursprünglich von Forschern bei OALABS entdeckt, die detailliert dokumentiert haben, was der Code im Hintergrund tut. Die StealC-Malware wird mit einem Tool namens Amadey bereitgestellt, mit dem unter anderem Malware geladen und dann ein AutoIt-Skript ausgeführt werden kann, das den bereits erwähnten Kiosk-Modus aktiviert, die Tasten "ESC" und "F11" deaktiviert und den Anmeldebildschirm des Benutzerkontos anzeigt, das der Cyberkriminelle auf dem Gerät verwenden möchte. Wenn Sie hier Ihre Daten eingeben und im Webbrowser speichern, sitzen Sie bereits in der Falle.
Ein unberechtigter Vollbildmodus, der den Anmeldebildschirm eines bestimmten Dienstes anzeigt, in der Regel das Google-Konto, sollte Verdacht erregen. In diesem Fall ist es immer eine gute Idee, den fraglichen Webbrowser zu beenden und den Antivirenscan zu starten, natürlich im abgesicherten Modus.
