Зловредният софтуер за кражба на информация активно се възползва от недокументирана крайна точка на Google OAuth, наречена MultiLogin, за да превзема потребителски сесии и да позволява непрекъснат достъп до услугите на Google дори след възстановяване на паролата. Според CloudSEK критичният експлойт улеснява запазването на сесията и генерирането на "бисквитки", което позволява на участниците в заплахите да поддържат достъп до валидна сесия по неоторизиран начин.
Техниката е разкрита за пръв път от участник в заплахата на име PRISMA на 20 октомври 2023 г. в неговия канал в Telegram. Оттогава тя е включена в различни семейства крадци на злонамерен софтуер като услуга (MaaS), като Lumma, Rhadamanthys, Stealc, Meduza, RisePro и WhiteSnake.
Крайната точка за удостоверяване MultiLogin е предназначена предимно за синхронизиране на акаунти на Google в различни услуги, когато потребителите влизат в своите акаунти в уеб браузъра Chrome (т.е. в профили).
Обратното инженерство на кода на Lumma Stealer разкри, че техниката е насочена към "таблицата token_service на WebData на Chrome, за да извлече токени и идентификатори на акаунти на влезли в Chrome профили", заяви изследователят по сигурността Паван Картик. "Тази таблица съдържа две важни колони: service (GAIA ID) и encrypted_token."
След това тази двойка токен:GAIA ID се комбинира с крайната точка MultiLogin, за да се регенерират бисквитките за удостоверяване на Google.
Картик казва на Hacker News, че са тествани три различни сценария за генериране на токени и бисквитки:
Когато потребителят е влязъл в браузъра, в този случай токенът може да се използва произволен брой пъти.
Когато потребителят промени паролата си, но позволи на Google да остане вписан, в който случай токенът може да се използва само веднъж, тъй като токенът вече е бил използван веднъж, за да позволи на потребителя да остане вписан.
Ако потребителят излезе от браузъра, токенът ще бъде отменен и изтрит от локалното хранилище на браузъра, като ще бъде възстановен при повторно влизане в системата.
Когато бяха потърсени за коментар, от Google признаха съществуването на метода за атака, но отбелязаха, че потребителите могат да отменят откраднатите сесии, като излязат от засегнатия браузър.
"Google е наясно с последните съобщения за семейство зловредни програми, които крадат токени за сесии", заявиха от компанията пред The Hacker News. "Атаките, включващи зловреден софтуер, който краде бисквитки и токени, не са нещо ново; ние рутинно подобряваме защитата си срещу такива техники и за да осигурим сигурност на потребителите, които стават жертва на зловреден софтуер. В този случай Google е предприела действия за защита на всички открити компрометирани акаунти."
"Въпреки това е важно да се отбележи погрешното схващане в докладите, което предполага, че откраднатите токени и бисквитки не могат да бъдат оттеглени от потребителя", добави още тя. "Това е невярно, тъй като откраднатите сесии могат да бъдат анулирани чрез просто излизане от засегнатия браузър или дистанционно анулирани чрез страницата на устройствата на потребителя. Ще продължим да следим ситуацията и да предоставяме актуализации при необходимост."
Освен това компанията препоръча на потребителите да включат функцията Enhanced Safe Browsing (Подобрено безопасно сърфиране) в Chrome, за да се предпазят от фишинг и изтегляне на зловреден софтуер.
"Препоръчително е да се променят паролите, така че участниците в заплахите да не използват потоците за възстановяване на авторските пароли", казва Картик. "Също така потребителите трябва да бъдат посъветвани да следят активността на профила си за подозрителни сесии, които са от IP адреси и места, които не разпознават."
Снимка: Unsplash
Виж още: В Китай роботи вече произвеждат клонирани прасета и животът няма смисъл