Beveiligingsonderzoekers zeggen dat malware die informatie steelt, nog steeds toegang kan krijgen tot de gecompromitteerde Google-accounts van slachtoffers, zelfs nadat wachtwoorden zijn gewijzigd.
De zero-day-exploit voor de beveiliging van Google-accounts werd voor het eerst geplaagd door een cybercrimineel die bekend staat als “PRISMA” in oktober 2023, waarbij hij opschepte dat de techniek kon worden gebruikt om opnieuw in te loggen op het account van een slachtoffer, zelfs nadat het wachtwoord was gewijzigd. Het kan ook worden gebruikt om nieuwe sessiecodes te genereren om indien nodig weer toegang te krijgen tot de e-mails van slachtoffers, cloudopslag en meer.
Sindsdien lijken ontwikkelaars van de informatiestelende malware – die zich voornamelijk op Windows richt – de exploit gestaag in hun code te hebben geïmplementeerd. Het totaal aantal bekende malwarefamilies die misbruik maken van de kwetsbaarheid bedraagt zes, waaronder Lumma en Radamanthys, terwijl Eternity Stealer ook werkt aan een update die in de nabije toekomst zal verschijnen.
Experts van CloudSEK zeggen dat ze hebben ontdekt dat de root van de exploit zich bevindt in een niet-geverifieerd Google OAuth “MultiLogin” eindpunt.
De exploit draait om het stelen van sessietokens van slachtoffers. Dit betekent dat malware eerst uw computer infecteert – meestal via kwaadaardige spam, frauduleuze downloads, enz. – en vervolgens het apparaat scant op zoek naar onder meer webbrowsersessiecookies die kunnen worden gebruikt om u in te loggen op de accounts.
De sessietokens worden vervolgens overgedragen aan malware-operators om toegang te krijgen tot die accounts en deze over te nemen. Het blijkt dat deze tokens nog steeds kunnen worden gebruikt om in te loggen, zelfs als de gebruiker zich realiseert dat hij is gehackt en zijn Google-wachtwoord wijzigt. Het lijkt erop dat gebruikers volledig moeten uitloggen en daarmee hun sessietokens ongeldig moeten maken, om uitbuiting te voorkomen.
MultiLogin is verantwoordelijk voor het synchroniseren van Google-accounts tussen verschillende services. Accepteert een vector van account-ID's en login-tokens om gelijktijdige sessies te beheren of tussen gebruikersprofielen te schakelen.
Reverse engineering van de informatiestelende malware onthulde dat account-ID's en inlogtokens van ingelogde Google-accounts afkomstig waren uit de WebData token_service-tabel van Chrome.
Deze tabel bevat twee kolommen die belangrijk zijn voor de exploitfunctie: Service (bevat GAIA ID) en Encrypted Token. Dit laatste wordt gedecodeerd met behulp van een sleutel die is opgeslagen in het lokale statusbestand van Chrome, gelegen in de map UserData.
Gestolen code: GAIA ID-paren kunnen vervolgens worden gebruikt met MultiLogin om voortdurend opnieuw servicecookies van Google aan te maken, zelfs nadat wachtwoorden opnieuw zijn ingesteld, en kunnen worden gebruikt om in te loggen.
Pavan Karthik M., onderzoeker van bedreigingsinformatie bij CloudSEK, Gelooft Deze ontdekking bewijst de hoge mate van verfijning van cybercriminelen. In het geval van Lumma wordt elk token:GAIA ID-paar gecodeerd door de malware, waardoor de exacte details van het mechanisme verborgen blijven.
In een recentere update introduceerde Lumma echter SOCKS-proxy's om de IP-gebaseerde beperkingen van Google op tokenvernieuwing te omzeilen. Door dit te doen geven malware-ontwikkelaars nu enkele details van verzoeken en antwoorden vrij, waardoor mogelijk een deel van hun eerdere pogingen om de interne werking van de functie te verbergen, teniet wordt gedaan.
Het coderen van verkeer tussen C2 Malware en MultiLogin verkleint ook de kans dat standaard beveiligingsmaatregelen kwaadaardige activiteiten detecteren, omdat de kans groter is dat gecodeerd verkeer over het hoofd wordt gezien, aldus Karthik.
“De tactische beslissing om het belangrijkste onderdeel van de exploit te versleutelen toont een doelbewuste beweging in de richting van meer geavanceerde, op stealth gerichte cyberdreigingen”, voegde hij eraan toe. “Het toont een verschuiving aan in het landschap van de ontwikkeling van malware, waarbij er steeds meer aandacht is voor het verbergen en beschermen van methoden voor malware-exploitatie, maar ook voor de effectiviteit van de malware-exploitaties zelf.”
Dossier Ik heb contact opgenomen met Google voor informatie over de plannen om de dreiging aan te pakken, maar heb op het moment van publicatie geen reactie ontvangen. Zoals we al zeiden, lijkt het erop dat het wijzigen van het wachtwoord en het volledig uit- en weer inloggen ervoor zorgen dat de tokens niet meer tot leven komen. Of dat zeker het geval is, laten wij u weten. ®
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”