Il se balade sur le Web depuis le mois d'août et s'appelle Amadey. Mais attention, il s'agit d'un malware qui verrouille votre navigateur en mode kiosque sur la page de connexion Google. Il joue sur vos nerfs et vous incite à saisir vos identifiants pour les voler.
Aujourd'hui, sur le Web, il faut que tout fonctionne parfaitement et le plus rapidement possible. Alors forcément, quand soudain, un onglet de votre navigateur bloque sur la page d'identification de Google et qu'il est impossible de fermer la fenêtre ou de quitter ce mode, ça énerve. Et l'on a beau écraser la touche ESC ou F11 de son clavier, ou tenter de fermer l'onglet, rien n'y fait. Google veut vos identifiants.
C'est exactement le but recherché par les hackers derrière Amadey. Ce malware, repéré fin août, utilise une technique inédite pour voler vos identifiants. Ces données sont aussitôt aspirées par le malware.
Comment les hackers s'y prennent-ils pour voler nos identifiants Google ?
Amadey atterrit le plus souvent sur votre machine par le biais d'un SMS ou e-mail frauduleux, ou une pièce jointe. Ensuite, il l'infecte et déploie un script AutoIt qui scanne votre machine à la recherche des navigateurs installés. Il en choisit un, de préférence Chrome ou Edge, et le lance en mode kiosque.
Ce mode, normalement utilisé pour les bornes d'information publiques, affiche le navigateur en plein écran sans aucune barre d'outils ou bouton visible. Le script dirige alors le navigateur vers la page de changement de mot de passe Google. Pourquoi celle-ci ? Car elle nécessite une nouvelle authentification, même si vous êtes déjà connecté.
Pour jouer sur votre patience, le malware désactive les touches Echap et F11, et bloque vos moyens habituels de sortir du mode plein écran. Vous voilà coincé, avec pour seule option apparente d'entrer vos identifiants. Si vous cédez, un autre composant nommé StealC se réveille. Cet infostealer, ou voleur d'informations, va subtilement récupérer les données que vous venez de saisir dans le gestionnaire de mots de passe du navigateur. Vous venez de donner vos identifiants Google aux hackers.
Comment sortir de ce piège en mode « Kiosque »
Si vous vous retrouvez bloqué sur cette page de connexion Google sans pouvoir la fermer, rien n'est gravé dans le marbre. Il existe plusieurs astuces pour s'en sortir sans compromettre vos données. D'abord, évitez à tout prix d'entrer vos identifiants, même si la frustration monte. Une petite pause loin de votre écran s'impose, car on le sait, la colère est mauvaise conseillère.
Essayez plutôt ces combinaisons de touches :
- Alt+F4 pour fermer la fenêtre
- Ctrl+Shift+Echap pour ouvrir le gestionnaire de tâches
- ou encore Alt+Tab pour basculer entre les applications.
Si ça ne marche pas, appuyez :
- Sur la touche Windows+R, puis tapez « cmd » et validez.
- Dans la fenêtre qui s'ouvre, entrez la commande « taskkill /IM chrome.exe /F » (ou remplacez chrome par le nom de votre navigateur).
En dernier recours, n'hésitez pas à forcer l'arrêt de votre ordinateur en maintenant le bouton d'alimentation enfoncé. Alors c'est le mode de la dernière chance et il fera certainement hurler les puristes, mais c'est toujours mieux que de vous faire voler vos identifiants Google.
Au redémarrage, lancez votre antivirus et faites un scan complet. Si le problème persiste, démarrez en mode sans échec (touche F8 au démarrage) et désinstallez les programmes suspects récemment installés. N'oubliez pas de changer vos mots de passe depuis un autre appareil, par précaution.
- Intégration imminente de l'IA ChatGPT et DALL-E
- Compatibilité avec les extensions Chrome
- Espaces de travail appréciables en travail collaboratif
Source : Bleeping Computer, OALABS