En una revelación preocupante, varias familias de malware que roban información están explotando un software indocumentado. Google Punto final de OAuth denominado «MultiLogin» para reactivar las cookies de autenticación caducadas, proporcionando acceso no autorizado a las cuentas de Google de los usuarios. Cookies de sesióndiseñados para tener una vida útil limitada, generalmente caducan, lo que impide un acceso no autorizado prolongado.
Sin embargo, los actores de amenazas han descubierto una exploit de día cero permitiéndoles regenerar cookies de autenticación de Google caducadas, incluso después de que los propietarios legítimos hayan restablecido las contraseñas o hayan cerrado sesión. Un actor de amenazas llamado PRISMA inicialmente reveló el exploit y compartió el método para restaurar las cookies caducadas en Telegram.
Investigadores de CloudSEK investigado más a fondo El asunto, revelando que el exploit aprovecha el punto final «MultiLogin», destinado a sincronizar cuentas en varios servicios de Google. El punto final API abusado, parte de Gaia Auth API, acepta un vector de ID de cuenta y tokens de inicio de sesión de autenticación, lo que permite a los actores de amenazas extraer información crucial para un acceso persistente.
El malware que incluye Lumma, Rhadamanthys, Stealc, Medusa y RisePro ya ha adoptado el exploit de terminal OAuth de Google.
El exploit de día cero funciona extrayendo tokens e ID de cuenta de Cromo perfiles registrados en una cuenta de Google. La información robada incluye servicio (ID GAIA) y token_encriptado. Utilizando una clave de cifrado almacenada en el archivo ‘Estado local’ de Chrome, los actores de amenazas descifran los tokens robados. Estos tokens descifrados, combinados con el punto final MultiLogin, permiten a los actores de amenazas regenerar las cookies caducadas del servicio Google. Puede mantener eficazmente el acceso persistente a cuentas comprometidas.
Los actores de amenazas solo pueden regenerar la cookie de autenticación una vez si un usuario restablece su contraseña de Google. Sin embargo, pueden regenerarla repetidamente si la contraseña permanece sin cambios. En particular, varios programas maliciosos que roban información, incluidos Lumma, Rhadamanthys, Stealc, Medusa, RisePro y Whitesnake, han adoptado este exploit. Estas variantes de malware afirman tener la capacidad de regenerar las cookies de Google utilizando el punto final API. Representa una amenaza importante para la seguridad de la cuenta de usuario.
A pesar de que se reveló y demostró la explotación, Google no ha confirmado oficialmente el abuso del punto final MultiLogin. La situación genera preocupación por la escala de la explotación y la falta de esfuerzos de mitigación. La adopción del exploit por parte de múltiples familias de malware enfatiza la necesidad urgente de que Google aborde y parchee esta vulnerabilidad de día cero. Aquí hay una demostración rápida del proceso.