По словам CloudSEK, эта критическая уязвимость эксплуатирует сохранение сеанса и генерацию куки-файлов, позволяя угрожающим субъектам сохранять доступ к действительным сеансам несанкционированным образом.
20 октября 2023 года агент угроз под ником PRISMA впервые раскрыл эту технику на своем канале в Telegram. С тех пор техника была включена в различныевредоносное программное обеспечениеСемейства крадунов As-a-Service (MaaS), такие как Lumma, Rhadamanthys, Stealc, Meduza, RisePro и WhiteSnake.
Конечная точка аутентификации MultiLogin в основном используется для синхронизации учетных записей Google между службами, когда пользователь входит в свою учетную запись (т. е. профиль) через Chrome.
Исследователь безопасности Паван Картик М (Pavan Karthick M) заявил: "Обратная разработка кода Lumma Stealer показывает, что техника нацелена на "таблицу WebData token_service Chrome для извлечения токенов и идентификаторов учетных записей для вошедших в Chrome профилей. Таблица содержит два ключевых столбца: сервис (GAIA ID) и криптографический токен.
Эта пара токен:GAIA ID затем объединяется с конечной точкой MultiLogin для регенерации cookie аутентификации Google.
Протестируйте различные сценарии генерации токенов-куки тремя способами
Когда пользователь входит в систему через браузер, в этом случае токен может быть использован несколько раз.
Если пользователь меняет пароль, но при этом продолжает входить в Google, в этом случае токен можно использовать только один раз, поскольку он уже был использован однажды для того, чтобы пользователь вошел в систему.
Если пользователь выходит из браузера, то токен будет аннулирован и удален из локального хранилища браузера и будет восстановлен при повторном входе в систему.
В своем интервью Google признала существование метода атаки, но отметила, что пользователи могут отменить украденные сессии, выйдя из затронутого браузера.
Компания Google приняла к сведению недавние сообщения о том, что вредоносные программы похищают токены сеансов". Атаки с использованием вредоносных программ, похищающих файлы cookie и токены, не новы; мы регулярно совершенствуем наши средства защиты, чтобы противостоять таким методам и обеспечить безопасность пользователей, ставших жертвами вредоносных программ. В данном случае Google принял меры для обеспечения безопасности всех обнаруженных скомпрометированных учетных записей".
Однако важно отметить, что в отчете присутствует ошибочное мнение о том, что пользователи не могут отозвать украденные токены и куки", - говорится далее. Это неверно, украденные сессии можно деактивировать, выйдя из затронутого браузера или удаленно отозвав их через страницу устройства пользователя. Мы будем продолжать следить за ситуацией и при необходимости предоставлять обновления".
Пользователям рекомендуется включить функцию Enhanced Safe Browsing в Chrome, чтобы предотвратить загрузку фишинговых и вредоносных программ.
Рекомендации по безопасности:
Меняйте пароли, чтобы злоумышленники не смогли использовать процесс сброса пароля для восстановления доступа.
Отслеживайте активность учетных записей и обращайте внимание на подозрительные входы с незнакомых IP-адресов и мест.
Этот инцидент подчеркивает потенциальные проблемы традиционных методов защиты учетных записей и необходимость в более совершенных решениях по обеспечению безопасности для борьбы с угрозами кражи информации, которые обычно используют киберпреступники.
В результате инцидента была обнаружена сложная уязвимость, которая может поставить под сомнение традиционные подходы к защите аккаунтов. Несмотря на то, что меры, принятые Google, очень ценны, эта ситуация подчеркивает необходимость более совершенных решений в области безопасности для борьбы с развивающимися киберугрозами, такими как программы для кражи информации, которые сегодня так распространены среди киберпреступников.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/malware-using-google-multilogin-exploit.html.
