Palma de la cara: OAuth es un estándar abierto diseñado para compartir información de cuentas con servicios de terceros, brindando a los usuarios una forma sencilla de acceder a aplicaciones y sitios web. Google, una de las empresas que ofrece autenticación OAuth a sus usuarios, aparentemente oculta algunos «secretos» peligrosos en el protocolo.
Un desarrollador de malware pudo descubrir recientemente uno de los secretos de OAuth de Google, una característica previamente desconocida llamada «MultiLogin» que es responsable de sincronizar las cuentas de Google entre diferentes servicios. MultiLogin acepta un vector de ID de cuenta y tokens de inicio de sesión de autenticación, utilizando dichos datos para administrar sesiones simultáneas o cambiar sin problemas entre perfiles de usuario.
MultiLogin es una función de Chromium de la que se puede abusar para comprometer la cuenta de Google de un usuario. El «error» fue revelado por un desarrollador de malware conocido como PRISMA en octubre de 2023. El ciberdelincuente compartió detalles sobre un exploit crítico diseñado para generar cookies persistentes para el acceso «continuo» a los servicios de Google, incluso después de restablecer la contraseña del usuario.
El exploit se reveló por primera vez en el canal Telegram de PRISMA y pronto fue adaptado por varios grupos de malware como una herramienta nueva y potente para robar credenciales de acceso en las PC de los usuarios. Como resaltado Según los analistas de CloudSEK, el exploit de día 0 proporcionó dos características clave para los creadores de ladrones de información: persistencia de la sesión y generación de cookies válidas.
Los ciberdelincuentes adaptaron rápidamente el nuevo exploit, integrando funciones aún más avanzadas para eludir las restricciones de seguridad de Google para la regeneración de tokens. El malware reciente de robo de información puede infectar la PC de un usuario, escanear la máquina en busca de cookies de sesión de Chromium y luego filtrar y enviar los datos a servidores remotos controlados por ciberdelincuentes.
Gracias a MultiLogin, los tokens robados se pueden utilizar para iniciar sesión con una identidad OAuth incluso si el usuario cambia su contraseña de Google. El exploit se puede contrarrestar cerrando sesión completamente en la cuenta de Google, invalidando los tokens de sesión y evitando así una mayor explotación.
CloudSEK dijo que el exploit MultiLogin subraya la «complejidad y el sigilo» de las amenazas de seguridad modernas. Google confirmado el ataque de robo de sesión, diciendo que este tipo de malware no es nuevo. La empresa actualiza periódicamente su defensa contra estas técnicas y ya ha «tomado medidas» para proteger las cuentas comprometidas. Mountain View también confirmó que los usuarios deben cerrar sesión para revocar las cookies robadas y que la función de navegación segura mejorada del navegador Chrome puede proteger contra phishing y descargas de malware.