SCF, Shell Command File, är ett gammalt filformat som idag främst används för genvägen till skrivbordet på Windows-datorer. Men nu har den serbiske säkerhetsforskaren Bosko Stankovic upptäckt att formatet även kan användas av hackare för att stjäla en användares inloggningsuppgifter till Windows. Detta via en bugg i webbläsaren Chrome. Det rapporterar The Bleeping Computer.

Läs också: Över 300 000 infekterade av Wannacry – men få betalar lösensumman

Webbläsaren anser nämligen att SCF är ett säkert format vilket betyder att Chrome automatiskt kan ladda hem filen på en dator. Men då formatet i sin tur laddar hem sin ikon från nätet, kan en infekterad fil lura datorn att ge bort sina autentiseringsuppgifter till servern som levererar ikonen. Något som händer så fort användaren går in i mappen där SCF-filen finns sparad.

Förvisso är uppgifterna hashade med NTLMv2, NTLMv1 eller LM, men det går idag att knäcka med brute force.

Metoden i fråga är inte ny, utan användes bland annat av hackergruppen Equation Group i deras Stuxnet-mask, viruset som användes för att angripa Iranska kärnkraftsanläggningar. Stuxnet använde LNK-filer istället för SCF, men principen är densamma.

Läs också: Shadow Brokers startar prenumerationstjänst för hackare efter Wannacry-kaoset

I skrivande stund arbetar Google med att åtgärda buggen, men vill du vara på den säkra sidan rekommenderar Stankovic att ändra inställningarna i Chrome så att varje nedladdning måste godkännas av användaren.