Un exploit grave que afecta Google Los servicios que se utilizan para otorgar acceso a las cuentas de Google a los actores de amenazas han sido descubiertos por una empresa de ciberseguridad. NubeSEK.
El exploit, identificado en octubre de 2023, permite el acceso continuo a los servicios de Google incluso después de que la víctima restablece su contraseña.
El malware se ha «propagado rápidamente» a varios malware grupos, incluidos Lumma, Rhadamanthys, Risepro, Meduza, Stealc y White Snake.
El malware que secuestra cuentas de Google se propaga rápidamente
CloudSEK dice que el exploit permite la generación de cookies persistentes de Google mediante la manipulación de tokens, dando al actor de amenazas acceso continuo a la cuenta de la víctima.
Desde que se expuso la información sobre la vulnerabilidad en octubre, una lista creciente de actores de amenazas ha estado incorporando el exploit en sus ladrones de información y malware para obtener acceso a cuentas de Google. Al menos seis grupos están explotando activamente la vulnerabilidad con su propio malware.
El análisis de CloudSEK confirma que el punto final de Google OAuth, MultiLogin, que está diseñado para sincronizar cuentas de Google entre servicios y brindar a los usuarios una experiencia de usuario consistente, es parte de la clave utilizada por los actores de amenazas para ingresar a las cuentas de Google.
La ingeniería inversa ha revelado que el malware se dirige a la tabla token_service de WebData de Chrome para extraer tokens e ID de cuentas de los perfiles de Chrome.
Los actores de amenazas pueden usar la información robada para regenerar cookies de sesión, que están diseñadas para tener una vida útil limitada, para desbloquear el acceso a la cuenta de la víctima.
Informes por Computadora que suena revela que un grupo, Lumma, ya actualizó el exploit para contrarrestar las mitigaciones de Google, lo que indica que Google ya está al tanto del exploit. Sin embargo, por lo que parece, Lumma ha sido más astuta que la empresa, por ahora.
TechRadar Pro ha pedido a Google más información sobre cómo los usuarios pueden protegerse y si la empresa publicará alguna medida de protección adicional. Mientras tanto, los usuarios pueden evitar muchos problemas de ciberseguridad simplemente teniendo cuidado con lo que descargan: la víctima descarga «voluntariamente» (intencionalmente o no) una gran cantidad de malware.