El malware que roba información está aprovechando activamente un punto final indocumentado de Google OAuth llamado MultiLogin para secuestrar las sesiones de los usuarios y permitir el acceso continuo a los servicios de Google incluso después de restablecer la contraseña.
Según CloudSEK, el explotación crítica facilita la persistencia de la sesión y la generación de cookies, lo que permite a los actores de amenazas mantener el acceso a una sesión válida de forma no autorizada.
La técnica fue revelada por primera vez por un actor de amenazas llamado PRISMA el 20 de octubre de 2023 en su canal de Telegram. Desde entonces, se ha incorporado a varias familias de ladrones de malware como servicio (MaaS), como Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake.
El punto final de autenticación MultiLogin está diseñado principalmente para sincronizar cuentas de Google entre servicios cuando los usuarios inician sesión en sus cuentas en el navegador web Chrome (es decir, perfiles).
Una ingeniería inversa del código de Lumma Stealer ha revelado que la técnica apunta a la «tabla token_service de Chrome de WebData para extraer tokens e ID de cuenta de los perfiles de Chrome conectados», dijo el investigador de seguridad Pavan Karthick M. «Esta tabla contiene dos columnas cruciales: servicio (ID de GAIA) y token_encriptado».
Este token: par de ID de GAIA se combina con el punto final MultiLogin para regenerar las cookies de autenticación de Google.
Karthick dijo a The Hacker News que se probaron tres escenarios diferentes de generación de cookies simbólicas:
- Cuando el usuario inicia sesión con el navegador, en cuyo caso el token se puede utilizar cualquier cantidad de veces.
- Cuando el usuario cambia la contraseña pero permite que Google permanezca conectado, en cuyo caso el token solo se puede usar una vez, ya que ya se usó una vez para permitir que el usuario permanezca conectado.
- Si el usuario cierra sesión en el navegador, el token será revocado y eliminado del almacenamiento local del navegador, que se regenerará al iniciar sesión nuevamente.
Cuando se le contactó para hacer comentarios, Google reconoció la existencia del método de ataque, pero señaló que los usuarios pueden revocar las sesiones robadas cerrando sesión en el navegador afectado.
«Google está al tanto de informes recientes sobre una familia de malware que roba tokens de sesión», dijo la compañía a The Hacker News. «Los ataques que involucran malware que roba cookies y tokens no son nuevos; actualizamos rutinariamente nuestras defensas contra tales técnicas y para proteger a los usuarios que son víctimas del malware. En este caso, Google ha tomado medidas para proteger cualquier cuenta comprometida detectada».
«Sin embargo, es importante tener en cuenta una idea errónea en los informes que sugieren que el usuario no puede revocar los tokens y las cookies robados», añadió. «Esto es incorrecto, ya que las sesiones robadas pueden invalidarse simplemente cerrando sesión en el navegador afectado o revocarse de forma remota a través de la cuenta del usuario. página de dispositivos. Continuaremos monitoreando la situación y brindando actualizaciones según sea necesario».
La empresa recomendó además a los usuarios activar Navegación segura mejorada en Chrome para proteger contra phishing y descargas de malware.
«Se recomienda cambiar las contraseñas para que los actores de amenazas no utilicen flujos de autenticación de restablecimiento de contraseñas para restaurarlas», dijo Karthick. «Además, se debe recomendar a los usuarios que controlen la actividad de su cuenta en busca de sesiones sospechosas que provengan de direcciones IP y ubicaciones que no reconocen».
«La aclaración de Google es un aspecto importante de la seguridad del usuario», dijo el cofundador y director de tecnología de Hudson Rock, Alon Gal, quien anteriormente revelado detalles del exploit a finales del año pasado.
«Sin embargo, el incidente arroja luz sobre un exploit sofisticado que puede desafiar los métodos tradicionales de seguridad de cuentas. Si bien las medidas de Google son valiosas, esta situación resalta la necesidad de soluciones de seguridad más avanzadas para contrarrestar las amenazas cibernéticas en evolución, como en el caso de los ladrones de información, que son tremendamente populares entre los cibercriminales hoy en día».
(La historia se actualizó después de la publicación para incluir comentarios adicionales de CloudSEK y Alon Gal).