Les logiciels malveillants voleurs d’informations profitent activement d’un point de terminaison Google OAuth non documenté nommé MultiLogin pour détourner les sessions utilisateur et permettre un accès continu aux services Google même après une réinitialisation du mot de passe.
Selon CloudSEK, le exploit critique facilite la persistance de la session et la génération de cookies, permettant aux acteurs malveillants de maintenir l’accès à une session valide de manière non autorisée.
La technique a été révélée pour la première fois par un acteur menaçant nommé PRISMA le 20 octobre 2023 sur sa chaîne Telegram. Il a depuis été intégré à diverses familles de logiciels malveillants en tant que service (MaaS), telles que Lumma, Rhadamanthys, Stealc, Meduza, RisePro et WhiteSnake.
Le point de terminaison d’authentification MultiLogin est principalement conçu pour synchroniser les comptes Google entre les services lorsque les utilisateurs se connectent à leurs comptes dans le navigateur Web Chrome (c’est-à-dire, profils).
Une ingénierie inverse du code de Lumma Stealer a révélé que la technique cible « la table token_service de Chrome de WebData pour extraire les jetons et les identifiants de compte des profils Chrome connectés », a déclaré le chercheur en sécurité Pavan Karthick M. « Ce tableau contient deux colonnes cruciales : service (GAIA ID) et approved_token. »
Cette paire jeton : ID GAIA est ensuite combinée avec le point de terminaison MultiLogin pour régénérer les cookies d’authentification Google.
Karthick a déclaré à The Hacker News que trois scénarios différents de génération de jetons et de cookies ont été testés :
- Lorsque l’utilisateur est connecté avec le navigateur, auquel cas le jeton peut être utilisé un nombre illimité de fois.
- Lorsque l’utilisateur modifie le mot de passe mais laisse Google rester connecté, auquel cas le jeton ne peut être utilisé qu’une seule fois car le jeton a déjà été utilisé une fois pour permettre à l’utilisateur de rester connecté.
- Si l’utilisateur se déconnecte du navigateur, le jeton sera révoqué et supprimé du stockage local du navigateur, qui sera régénéré lors de la nouvelle connexion.
Lorsqu’il a été contacté pour commenter, Google a reconnu l’existence de la méthode d’attaque, mais a noté que les utilisateurs peuvent révoquer les sessions volées en se déconnectant du navigateur concerné.
« Google est au courant de rapports récents faisant état d’une famille de logiciels malveillants volant des jetons de session », a déclaré la société à The Hacker News. « Les attaques impliquant des logiciels malveillants qui volent des cookies et des jetons ne sont pas nouvelles ; nous améliorons régulièrement nos défenses contre de telles techniques et pour sécuriser les utilisateurs victimes de logiciels malveillants. Dans ce cas, Google a pris des mesures pour sécuriser tous les comptes compromis détectés. »
« Cependant, il est important de noter une idée fausse dans les rapports selon laquelle les jetons et les cookies volés ne peuvent pas être révoqués par l’utilisateur », ajoute-t-il. « C’est incorrect, car les sessions volées peuvent être invalidées en se déconnectant simplement du navigateur concerné, ou révoquées à distance via le compte de l’utilisateur. page des appareils. Nous continuerons de surveiller la situation et de fournir des mises à jour si nécessaire. »
La société a en outre recommandé aux utilisateurs d’activer Navigation sécurisée améliorée dans Chrome pour vous protéger contre le phishing et les téléchargements de logiciels malveillants.
« Il est conseillé de changer les mots de passe afin que les acteurs malveillants n’utilisent pas les flux d’authentification de réinitialisation des mots de passe pour restaurer les mots de passe », a déclaré Karthick. « En outre, il convient de conseiller aux utilisateurs de surveiller l’activité de leur compte pour détecter les sessions suspectes provenant d’adresses IP et d’emplacements qu’ils ne reconnaissent pas. »
« La clarification de Google est un aspect important de la sécurité des utilisateurs », a déclaré Alon Gal, co-fondateur et directeur de la technologie de Hudson Rock, qui avait auparavant divulgué les détails de l’exploit à la fin de l’année dernière.
« Cependant, l’incident met en lumière un exploit sophistiqué qui pourrait remettre en question les méthodes traditionnelles de sécurisation des comptes. Bien que les mesures de Google soient utiles, cette situation met en évidence la nécessité de solutions de sécurité plus avancées pour contrer l’évolution des cybermenaces, comme dans le cas des voleurs d’informations qui sont extrêmement populaires parmi les cybercriminels de nos jours. »
(L’histoire a été mise à jour après la publication pour inclure des commentaires supplémentaires de CloudSEK et Alon Gal.)