El malware que roba información está aprovechando activamente un punto final indocumentado de Google OAuth llamado MultiLogin para secuestrar las sesiones de los usuarios y permitir el acceso continuo a los servicios de Google incluso después de restablecer la contraseña.
Según CloudSEK, el explotación crítica facilita la persistencia de la sesión y la generación de cookies, lo que permite a los actores de amenazas mantener el acceso a una sesión válida de forma no autorizada.
La técnica fue revelada por primera vez por un actor de amenazas llamado PRISMA el 20 de octubre de 2023 en su canal de Telegram. Desde entonces ha sido incorporado en varias familias de ladrones de malware como servicio (MaaS)como Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake.
El punto final de autenticación MultiLogin está diseñado principalmente para sincronizar cuentas de Google entre servicios cuando los usuarios inician sesión en sus cuentas en el navegador web Chrome (es decir, perfiles).
Una ingeniería inversa del código de Lumma Stealer ha revelado que la técnica apunta a la «tabla token_service de Chrome de WebData para extraer tokens e ID de cuenta de los perfiles de Chrome conectados», dijo el investigador de seguridad Pavan Karthick M. «Esta tabla contiene dos columnas cruciales: servicio (IDENTIFICACIÓN GAIA) y token_cifrado.»
Este token: par de ID de GAIA se combina con el punto final MultiLogin para regenerar las cookies de autenticación de Google.
Cuando se le contactó para hacer comentarios, Google reconoció la existencia del método de ataque, pero señaló que los usuarios pueden revocar las sesiones robadas cerrando sesión en el navegador afectado.
«Google está al tanto de informes recientes sobre una familia de malware que roba tokens de sesión», dijo la compañía a The Hacker News. «Los ataques que involucran malware que roba cookies y tokens no son nuevos; actualizamos rutinariamente nuestras defensas contra tales técnicas y para proteger a los usuarios que son víctimas del malware. En este caso, Google ha tomado medidas para proteger cualquier cuenta comprometida detectada».
«Sin embargo, es importante tener en cuenta una idea errónea en los informes que sugieren que el usuario no puede revocar los tokens y las cookies robados», añadió. «Esto es incorrecto, ya que las sesiones robadas pueden invalidarse simplemente cerrando sesión en el navegador afectado o revocarse de forma remota a través de la cuenta del usuario. página de dispositivos. Continuaremos monitoreando la situación y brindando actualizaciones según sea necesario».
La empresa recomendó además a los usuarios activar Navegación segura mejorada en Chrome para proteger contra phishing y descargas de malware.