Аккаунт Google. Этот метод позволяет сохранять действительную сессию путем регенерации файлов cookie даже после смены IP-адреса или пароля. НовыйхакерМетод позволяет злоумышленникам использовать функциональность протокола авторизации OAuth 2.0 для компрометации отчета GoogleCloudSEK CloudSEK
Команда исследователей CloudSEK обнаружила атаку с использованием недокументированной точки доступа Google Oauth под названием "MultiLogin". "MultiLogin" - это внутренний механизм, предназначенный для синхронизации учетных записей Google в различных сервисах, гарантирующий, что состояние учетной записи в браузере совпадает с файлом cookie аутентификации Google.
выразили готовность сотрудничать, что ускорило обнаружение точки доступа, ответственной за повторную генерацию cookie. Используя
Вредоносная программа Infostealer. Основные функции Lumma - сохранение сессий и генерация cookie. Приложение предназначено для извлечения необходимых секретов, токенов и идентификаторов учетных записей путем атаки на таблицу token_service в WebData профиля login Chrome.
"Сессии остаются действительными даже при смене пароля учетной записи, что является уникальным преимуществом для обхода типичных мер безопасности", - цитирует отчет автор эксплойта PRISMA.
Исследователи отмечают тревожную тенденцию быстрой консолидации эксплойтов уязвимостей среди различных киберпреступных групп. Эксплуатация недокументированной точки доступа Google OAuth2 MultiLogin - яркий пример изощренности, поскольку метод основан на тонких манипуляциях с токенами Google Account and ID Management (GAIA). Вредоносная программа использует криптографический слой, чтобы скрыть механизм эксплойта.
Эта техника эксплуатации демонстрирует высокую степень изощренности и понимания внутренних механизмов аутентификации Google. Манипулируя парой "Token:GAIA ID", Lumma может постоянно регенерировать cookies для сервисов Google, и, что особенно тревожно, эксплойт остается в силе даже при сбросе пароля пользователя, позволяя постоянно и потенциально незаметно эксплуатировать пользовательские аккаунты и данные. " заключила команда CloudSEK.
Ссылаться на:
https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking
Оригинальная статья написана batsom, при воспроизведении просьба указывать: https://cncso.com/ru/google-accounts-malwares-exploiting-undocumented-oauth2-session-hijacking.html.
