据 CloudSEK 称,这一关键漏洞利用了会话持久性和 Cookie 生成,使威胁行为者能够以未经授权的方式保持对有效会话的访问。
2023 年 10 月 20 日,一个名为 PRISMA 的威胁行为者在其 Telegram 频道上首次披露了这一技术。此后,该技术被纳入各种恶意软件即服务(MaaS)窃取程序系列,如 Lumma、Rhadamanthys、Stealc、Meduza、RisePro 和 WhiteSnake。
MultiLogin 身份验证端点主要用于在用户通过 Chrome 浏览器登录其账户(即配置文件)时跨服务同步谷歌账户。
安全研究员 Pavan Karthick M 说:”对 Lumma Stealer 代码的逆向工程显示,该技术的目标是 “Chrome 的 WebData token_service 表,以提取登录的 Chrome 配置文件的令牌和账户 ID。”该表包含两个关键列:服务(GAIA ID)和加密令牌。
然后,这个令牌:GAIA ID 对与 MultiLogin 端点相结合,重新生成 Google 身份验证 Cookie。
通过三种方式测试不同的令牌-cookie 生成情况
当用户使用浏览器登录时,在这种情况下,令牌可以多次使用。
当用户更改密码但仍让谷歌保持登录状态时,在这种情况下,令牌只能使用一次,因为令牌已经使用过一次,让用户保持登录状态。
如果用户退出浏览器,那么令牌将被取消并从浏览器的本地存储中删除,再次登录时将重新生成。
谷歌在接受采访时承认存在这种攻击方法,但指出用户可以通过注销受影响的浏览器来撤销被盗会话。
谷歌已经注意到最近关于恶意软件家族窃取会话令牌的报道。”涉及恶意软件窃取 cookie 和令牌的攻击并不新鲜;我们会定期升级我们的防御系统,以防范此类技术,并确保成为恶意软件受害者的用户的安全。在这种情况下,谷歌已采取行动,确保检测到的所有受损账户的安全。
然而,需要注意的是,报告中存在一种误解,即用户无法撤销被盗的令牌和 cookie,”它进一步补充道。”这是不正确的,被盗的会话可以通过退出受影响的浏览器或通过用户的设备页面远程撤销而失效。我们将继续监控情况,并在必要时提供更新。
建议用户打开 Chrome 浏览器中的 “增强安全浏览 “功能,以防止网络钓鱼和恶意软件下载。
安全建议:
更改密码,防止攻击者利用密码重置流程恢复访问。
监控账户活动,留意来自陌生 IP 和位置的可疑登录。
该事件凸显了传统账户安全方法可能存在挑战,需要更先进的安全解决方案应对网络犯罪分子常用的信息窃取威胁。
通过该安全事件揭示了一个复杂的漏洞,它可能会挑战传统的账户安全方法。虽然谷歌的措施很有价值,但这种情况凸显出需要更先进的安全解决方案来应对不断发展的网络威胁,例如如今在网络犯罪分子中非常流行的信息窃取程序。
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/malware-using-google-multilogin-exploit.html
