Güvenlik araştırmacılarına göre, kullanıcılardan bilgi çalmak ve Google hesaplarını ele geçirmek için tasarlanan kötü amaçlı yazılımlar, şifre sıfırlandıktan sonra bile birden fazla kötü amaçlı grup tarafından kullanılıyor. İstismarın Windows bilgisayarları hedef aldığı bildiriliyor. Cihaza virüs bulaştığında, “bilgi hırsızları” tarafından kullanılan ve kullanıcının hesabına giriş yaptığında bilgisayarına atanan oturum açma oturumu jetonunu sızdırıp siber suçlunun sunucusuna yüklemek için kullanılan bir teknik kullanılıyor.
Bir göre rapor CloudSEK’teki araştırmacılar tarafından yayınlanan kötü amaçlı yazılım, ilk olarak Ekim 2023’te tehdit grubu PRISMA tarafından başlatıldı ve kullanıcıların aynı tarayıcıdaki kullanıcı profilleri arasında geçiş yapmasına veya birden fazla oturum açma oturumu kullanmasına olanak sağlamak için Google tarafından kullanılan arama devinin MultiLogin adlı OAuth uç noktasını kullanıyor. eşzamanlı. Kötü amaçlı yazılım, kullanıcının bilgisayarda oturum açmış olan Google hesaplarındaki kimlik doğrulama jetonlarını kullanır. Rapora göre, Windows’taki UserData klasöründen çalınan bir anahtar yardımıyla gerekli bilgilerin şifresi çözülüyor.
Kötü niyetli kullanıcılar, çalınan oturum açma oturumu belirteçlerini kullanarak, bir kullanıcının hesabının süresi dolduktan sonra oturum açmak için bir kimlik doğrulama çerezini bile yeniden oluşturabilir; hatta kullanıcı parolasını değiştirdiğinde bu çerez bir kez sıfırlanabilir. Sonuç olarak, kötü amaçlı yazılım operatörleri kullanıcının hesabına erişimini koruyabilir. Tehdit istihbaratı grubu Hudson Rock, kusurun istismar edildiğini gösteren bir kanıt sundu.
Bu arada BleepingComputer işaret Çeşitli kötü amaçlı yazılım yaratıcılarının kullanıcı verilerine erişim elde etmek için bu açıktan yararlanmaya başladıkları görülüyor – 14 Kasım’da Lumma hırsızı bu kusurdan yararlanacak şekilde güncellendi ve bunu Rhadamanthys (17 Kasım), Stealc (1 Aralık), Medusa (1 Aralık) takip etti. 11 Aralık), RisePro (12 Aralık) ve Whitesnake (26 Aralık).
İçinde ifade Arama devi 9to5Google’a, kötü amaçlı yazılımların kullandığı tekniklere karşı savunmasını düzenli olarak yükselttiğini ve şirket tarafından tespit edilen ele geçirilmiş hesapların güvence altına alındığını söyledi.
Google ayrıca kullanıcıların, kötü amaçlı yazılımın bulaştığı bir cihazın tarayıcısından çıkış yaparak ya da oturum belirteçlerine erişerek çalınan oturum belirteçlerini iptal edebileceklerini veya geçersiz kılabileceklerini belirtiyor. cihazlar sayfası hesap ayarlarında ve bu oturumlardan uzaktan çıkış yapın. Şirkete göre kullanıcılar ayrıca bilgisayarlarını kötü amaçlı yazılımlara karşı tarayabilir ve bilgisayarlarına kötü amaçlı yazılım indirmeyi önlemek için Google Chrome’daki Gelişmiş Güvenli Tarama ayarını etkinleştirebilir.