Вредоносное ПО, похищающее информацию, активно использует недокументированную конечную точку Google OAuth с именем MultiLogin, чтобы перехватывать сеансы пользователей и обеспечивать непрерывный доступ к сервисам Google даже после сброса пароля.
Согласно CloudSEK, критический эксплойт облегчает сохранение сеанса и генерацию файлов cookie, позволяя субъектам угрозы сохранять доступ к действительному сеансу несанкционированным образом.
Этот метод был впервые раскрыт злоумышленником по имени PRISMA 20 октября 2023 года на их канале Telegram. С тех пор оно было включено в различные семейства программ-похитителей вредоносных программ как услуги (MaaS), такие как Lumma, Rhadamanthys, Stealc, Meduza, RisePro и WhiteSnake.
Конечная точка аутентификации MultiLogin в первую очередь предназначена для синхронизации учетных записей Google в разных сервисах, когда пользователи входят в свои учетные записи в веб-браузере Chrome (т.е. в профили).
Обратная разработка кода Lumma Stealer показала, что этот метод нацелен на "таблицу WebData token_service Chrome для извлечения токенов и идентификаторов учетных записей зарегистрированных профилей Chrome", - сказал исследователь безопасности Паван Картик М. "Эта таблица содержит два важных столбца: service (GAIA ID) и encrypted_token".
Эта пара токен: GAIA ID затем объединяется с конечной точкой MultiLogin для восстановления файлов cookie аутентификации Google.
Картик рассказал The Hacker News, что были протестированы три разных сценария генерации токенов-cookie -
"Google знает о недавних сообщениях о семействе вредоносных программ, крадущих токены сеанса", - сообщили The Hacker News в компании. "Атаки с использованием вредоносного ПО, крадущего файлы cookie и токены, не новы; мы регулярно совершенствуем нашу защиту от таких методов и защищаем пользователей, которые становятся жертвами вредоносного ПО. В данном случае Google предприняла действия по защите любых обнаруженных скомпрометированных учетных записей."
"Однако важно отметить ошибочное представление в отчетах, согласно которому украденные токены и файлы cookie не могут быть отозваны пользователем", - добавляется далее. "Это неверно, поскольку украденные сеансы можно аннулировать простым выходом из уязвимого браузера или удаленным отзывом через страницу устройств пользователя. Мы продолжим отслеживать ситуацию и предоставлять обновления по мере необходимости."
Компания также рекомендовала пользователям включить расширенный безопасный просмотр в Chrome для защиты от фишинга и загрузок вредоносных программ.
"Рекомендуется сменить пароли, чтобы злоумышленники не использовали потоки авторизации для восстановления паролей", - сказал Картик. "Кроме того, пользователям следует рекомендовать отслеживать активность своей учетной записи на предмет подозрительных сеансов с IP-адресов и местоположений, которые они не распознают".
"Разъяснение Google является важным аспектом безопасности пользователей", - сказал соучредитель и технический директор Hudson Rock Алон Гал, который ранее раскрыл подробности эксплойта в конце прошлого года.
"Однако инцидент проливает свет на сложный эксплойт, который может бросить вызов традиционным методам защиты учетных записей. Хотя меры Google ценны, эта ситуация подчеркивает необходимость в более совершенных решениях безопасности для противодействия развивающимся киберугрозам, таким как в случае с infostealers, которые в наши дни чрезвычайно популярны среди киберпреступников."
(История была обновлена после публикации, чтобы включить дополнительные комментарии от CloudSEK и Alon Gal.)
Согласно CloudSEK, критический эксплойт облегчает сохранение сеанса и генерацию файлов cookie, позволяя субъектам угрозы сохранять доступ к действительному сеансу несанкционированным образом.
Этот метод был впервые раскрыт злоумышленником по имени PRISMA 20 октября 2023 года на их канале Telegram. С тех пор оно было включено в различные семейства программ-похитителей вредоносных программ как услуги (MaaS), такие как Lumma, Rhadamanthys, Stealc, Meduza, RisePro и WhiteSnake.
Конечная точка аутентификации MultiLogin в первую очередь предназначена для синхронизации учетных записей Google в разных сервисах, когда пользователи входят в свои учетные записи в веб-браузере Chrome (т.е. в профили).
Обратная разработка кода Lumma Stealer показала, что этот метод нацелен на "таблицу WebData token_service Chrome для извлечения токенов и идентификаторов учетных записей зарегистрированных профилей Chrome", - сказал исследователь безопасности Паван Картик М. "Эта таблица содержит два важных столбца: service (GAIA ID) и encrypted_token".
Эта пара токен: GAIA ID затем объединяется с конечной точкой MultiLogin для восстановления файлов cookie аутентификации Google.
Картик рассказал The Hacker News, что были протестированы три разных сценария генерации токенов-cookie -
- Когда пользователь входит в систему с помощью браузера, в этом случае токен можно использовать любое количество раз.
- Когда пользователь меняет пароль, но позволяет Google оставаться в системе, в этом случае токен можно использовать только один раз, поскольку токен уже использовался один раз, чтобы позволить пользователю оставаться в системе.
- Если пользователь выйдет из браузера, токен будет отозван и удален из локального хранилища браузера, которое будет восстановлено при повторном входе в систему.
"Google знает о недавних сообщениях о семействе вредоносных программ, крадущих токены сеанса", - сообщили The Hacker News в компании. "Атаки с использованием вредоносного ПО, крадущего файлы cookie и токены, не новы; мы регулярно совершенствуем нашу защиту от таких методов и защищаем пользователей, которые становятся жертвами вредоносного ПО. В данном случае Google предприняла действия по защите любых обнаруженных скомпрометированных учетных записей."
"Однако важно отметить ошибочное представление в отчетах, согласно которому украденные токены и файлы cookie не могут быть отозваны пользователем", - добавляется далее. "Это неверно, поскольку украденные сеансы можно аннулировать простым выходом из уязвимого браузера или удаленным отзывом через страницу устройств пользователя. Мы продолжим отслеживать ситуацию и предоставлять обновления по мере необходимости."
Компания также рекомендовала пользователям включить расширенный безопасный просмотр в Chrome для защиты от фишинга и загрузок вредоносных программ.
"Рекомендуется сменить пароли, чтобы злоумышленники не использовали потоки авторизации для восстановления паролей", - сказал Картик. "Кроме того, пользователям следует рекомендовать отслеживать активность своей учетной записи на предмет подозрительных сеансов с IP-адресов и местоположений, которые они не распознают".
"Разъяснение Google является важным аспектом безопасности пользователей", - сказал соучредитель и технический директор Hudson Rock Алон Гал, который ранее раскрыл подробности эксплойта в конце прошлого года.
"Однако инцидент проливает свет на сложный эксплойт, который может бросить вызов традиционным методам защиты учетных записей. Хотя меры Google ценны, эта ситуация подчеркивает необходимость в более совершенных решениях безопасности для противодействия развивающимся киберугрозам, таким как в случае с infostealers, которые в наши дни чрезвычайно популярны среди киберпреступников."
(История была обновлена после публикации, чтобы включить дополнительные комментарии от CloudSEK и Alon Gal.)