Malware diseñado para robar información de los usuarios y secuestrar sus Google Las cuentas están siendo explotadas por múltiples grupos maliciosos, incluso después de que se haya restablecido la contraseña, según investigadores de seguridad. Según se informa, el exploit está dirigido a ventanas ordenadores. Una vez que el dispositivo está infectado, utiliza una técnica utilizada por los «ladrones de información» para extraer el token de sesión de inicio de sesión (asignado a la computadora de un usuario cuando inicia sesión en su cuenta) y cargarlo en el servidor del ciberdelincuente.
De acuerdo a un informe Publicado por investigadores de CloudSEK, el malware fue lanzado por primera vez por el grupo de amenazas PRISMA en octubre de 2023 y utiliza el punto final OAuth del gigante de las búsquedas llamado MultiLogin que utiliza Google para permitir a los usuarios cambiar entre perfiles de usuario en el mismo navegador o utilizar múltiples sesiones de inicio de sesión. simultáneamente. El malware utiliza tokens de inicio de sesión de autenticación de las cuentas de Google de un usuario que han iniciado sesión en la computadora. Los detalles necesarios se descifran con la ayuda de una clave robada de la carpeta UserData en Windows, según el informe.
Usando los tokens de sesión de inicio de sesión robados, los usuarios malintencionados pueden incluso regenerar una cookie de autenticación para iniciar sesión en la cuenta de un usuario después de que haya expirado; incluso se puede restablecer una vez, cuando un usuario cambia su contraseña. Como resultado, los operadores de malware pueden conservar el acceso a la cuenta de un usuario. El grupo de inteligencia de amenazas Hudson Rock ha proporcionado una demostración de la falla que se está explotando.
Mientras tanto, BleepingComputer Señala que varios creadores de malware ya han comenzado a utilizar el exploit para obtener acceso a los datos de los usuarios: el 14 de noviembre, el ladrón Lumma se actualizó para aprovechar la falla, seguido por Rhadamanthys (17 de noviembre), Stealc (1 de diciembre), Medusa ( 11 de diciembre), RisePro (12 de diciembre) y Whitesnake (26 de diciembre).
en un declaración Según 9to5Google, el gigante de las búsquedas dijo que actualizaba periódicamente sus defensas contra las técnicas utilizadas por el malware y que las cuentas comprometidas detectadas por la empresa habían sido protegidas.
Google también señala que los usuarios pueden revocar o invalidar los tokens de sesión robados cerrando sesión en el navegador en un dispositivo que haya sido infectado con el malware o accediendo a su página de dispositivos en la configuración de su cuenta y cerrar sesión de forma remota en esas sesiones. Los usuarios también pueden escanear sus computadoras en busca de malware y habilitar la configuración de Navegación segura mejorada en Google Chrome para evitar descargar malware en sus computadoras, según la compañía.