«Este punto final opera aceptando un vector de ID de cuenta y tokens de inicio de sesión de autenticación, datos esenciales para administrar sesiones simultáneas o cambiar entre perfiles de usuario sin problemas», dijo CloudSEK en la publicación del blog. «Si bien la función MultiLogin juega un papel vital en la autenticación del usuario, también presenta una vía explotable si se maneja mal, como lo demuestran los recientes desarrollos de malware».
Para confirmar que se ha utilizado un punto final MultiLogin para regenerar cookies de sesión en el exploit, CloudSEK conversó con Prisma y realizó ingeniería inversa al ejecutable del exploit proporcionado por el actor de la amenaza. El estudio reveló el punto final MultiLogin indocumentado específico que se utilizó en el exploit.
El restablecimiento de contraseña no es suficiente
El exploit sólo es posible después de un hack inicial en el sistema de un usuario para recuperar tokens de sesión de usuario válidos. Inicialmente, un malware infecta la computadora de la víctima, a menudo a través de métodos como spam malicioso o descargas no confiables. Una vez que el sistema se ve comprometido, el malware busca cookies de sesión del navegador web y otros datos que pueden explotarse para obtener acceso no autorizado a las cuentas.
Los tokens de sesión robados se envían a los operadores del malware, lo que les permite infiltrarse y tomar el control de las cuentas comprometidas. En particular, incluso si los usuarios detectan la infracción y cambian su contraseña de Google, los tokens robados aún pueden usarse para iniciar sesión. El malware extrae y descifra los ID de cuentas y los tokens de autenticación de las cuentas activas de Google examinando la tabla token_service en WebData de Chrome, que utiliza junto con MultiLogin para regenerar continuamente la información de la sesión.
Para mitigar este riesgo, se recomienda a los usuarios que cierren sesión por completo, lo que invalida los tokens de sesión y evita una mayor explotación.
Lumma ocultó un exploit con cifrado de tokens
Para ofuscar su mecanismo de explotación, Lumma cifró el token de acceso extraído de la tabla token_service: par de ID de GAIA, un componente crítico en el proceso de autenticación de Google.