El malware que roba informaci\u00f3n est\u00e1 aprovechando activamente un punto final indocumentado de Google OAuth llamado MultiLogin para secuestrar las sesiones de los usuarios y permitir el acceso continuo a los servicios de Google incluso despu\u00e9s de restablecer la contrase\u00f1a.<\/p>\n
Seg\u00fan CloudSEK, el explotaci\u00f3n cr\u00edtica<\/a> facilita la persistencia de la sesi\u00f3n y la generaci\u00f3n de cookies, lo que permite a los actores de amenazas mantener el acceso a una sesi\u00f3n v\u00e1lida de forma no autorizada.<\/p>\n La t\u00e9cnica fue revelada por primera vez por un actor de amenazas llamado PRISMA el 20 de octubre de 2023 en su canal de Telegram. Desde entonces, se ha incorporado a varias familias de ladrones de malware como servicio (MaaS), como Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake.<\/p>\n El punto final de autenticaci\u00f3n MultiLogin est\u00e1 dise\u00f1ado principalmente para sincronizar cuentas de Google entre servicios cuando los usuarios inician sesi\u00f3n en sus cuentas en el navegador web Chrome (es decir, perfiles<\/a>). <\/p>\n Una ingenier\u00eda inversa del c\u00f3digo de Lumma Stealer ha revelado que la t\u00e9cnica apunta a la “tabla token_service de Chrome de WebData para extraer tokens e ID de cuenta de los perfiles de Chrome conectados”, dijo el investigador de seguridad Pavan Karthick M. “Esta tabla contiene dos columnas cruciales: servicio (ID de GAIA) y token_encriptado”.<\/p>\n Este token: par de ID de GAIA se combina con el punto final MultiLogin para regenerar las cookies de autenticaci\u00f3n de Google.<\/p>\n Karthick dijo a The Hacker News que se probaron tres escenarios diferentes de generaci\u00f3n de cookies simb\u00f3licas:<\/p>\n Cuando se le contact\u00f3 para hacer comentarios, Google reconoci\u00f3 la existencia del m\u00e9todo de ataque, pero se\u00f1al\u00f3 que los usuarios pueden revocar las sesiones robadas cerrando sesi\u00f3n en el navegador afectado.<\/p>\n “Google est\u00e1 al tanto de informes recientes sobre una familia de malware que roba tokens de sesi\u00f3n”, dijo la compa\u00f1\u00eda a The Hacker News. “Los ataques que involucran malware que roba cookies y tokens no son nuevos; actualizamos rutinariamente nuestras defensas contra tales t\u00e9cnicas y para proteger a los usuarios que son v\u00edctimas del malware. En este caso, Google ha tomado medidas para proteger cualquier cuenta comprometida detectada”.<\/p>\n “Sin embargo, es importante tener en cuenta una idea err\u00f3nea en los informes que sugieren que el usuario no puede revocar los tokens y las cookies robados”, a\u00f1adi\u00f3. “Esto es incorrecto, ya que las sesiones robadas pueden invalidarse simplemente cerrando sesi\u00f3n en el navegador afectado o revocarse de forma remota a trav\u00e9s de la cuenta del usuario. p\u00e1gina de dispositivos<\/a>. Continuaremos monitoreando la situaci\u00f3n y brindando actualizaciones seg\u00fan sea necesario”.<\/p>\n La empresa recomend\u00f3 adem\u00e1s a los usuarios activar Navegaci\u00f3n segura mejorada<\/a> en Chrome para proteger contra phishing y descargas de malware.<\/p>\n “Se recomienda cambiar las contrase\u00f1as para que los actores de amenazas no utilicen flujos de autenticaci\u00f3n de restablecimiento de contrase\u00f1as para restaurarlas”, dijo Karthick. “Adem\u00e1s, se debe recomendar a los usuarios que controlen la actividad de su cuenta en busca de sesiones sospechosas que provengan de direcciones IP y ubicaciones que no reconocen”.<\/p>\n “La aclaraci\u00f3n de Google es un aspecto importante de la seguridad del usuario”, dijo el cofundador y director de tecnolog\u00eda de Hudson Rock, Alon Gal, quien anteriormente revelado<\/a> detalles del exploit a finales del a\u00f1o pasado.<\/p>\n “Sin embargo, el incidente arroja luz sobre un exploit sofisticado que puede desafiar los m\u00e9todos tradicionales de seguridad de cuentas. Si bien las medidas de Google son valiosas, esta situaci\u00f3n resalta la necesidad de soluciones de seguridad m\u00e1s avanzadas para contrarrestar las amenazas cibern\u00e9ticas en evoluci\u00f3n, como en el caso de los ladrones de informaci\u00f3n, que son tremendamente populares entre los cibercriminales hoy en d\u00eda”.<\/p>\n (La historia se actualiz\u00f3 despu\u00e9s de la publicaci\u00f3n para incluir comentarios adicionales de CloudSEK y Alon Gal).<\/em><\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Malware-que-utiliza-el-exploit-Google-MultiLogin-para-mantener-el.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
\n
\n
<\/a><\/center><\/div>\n