.
Atualizada Pesquisadores de segurança dizem que o malware que rouba informações ainda pode acessar as contas comprometidas do Google das vítimas, mesmo depois que as senhas forem alteradas.
Uma exploração de dia zero da segurança da conta do Google foi provocada pela primeira vez por um cibercriminoso conhecido como “PRISMA” em outubro de 2023, gabando-se de que a técnica poderia ser usada para fazer login novamente na conta da vítima, mesmo depois que a senha fosse alterada. Também pode ser usado para gerar novos tokens de sessão para recuperar o acesso aos e-mails das vítimas, armazenamento em nuvem e muito mais, conforme necessário.
Desde então, os desenvolvedores de malware ladrão de informações – visando principalmente o Windows, ao que parece – implementaram constantemente a exploração em seu código. O número total de famílias de malware conhecidas que abusam da vulnerabilidade é de seis, incluindo Lumma e Rhadamanthys, enquanto o Eternity Stealer também está trabalhando em uma atualização a ser lançada em um futuro próximo.
Eles são chamados de ladrões de informações porque, uma vez executados no computador de algum pobre coitado, eles começam a trabalhar para encontrar informações confidenciais – como credenciais de área de trabalho remota, cookies de sites e carteiras criptografadas – no host local e vazando-as para servidores remotos executados por malfeitores.
Eggheads da CloudSEK dizem que descobriram que a raiz da exploração da conta do Google estava no endpoint não documentado do Google OAuth “MultiLogin”.
A exploração gira em torno do roubo de tokens de sessão das vítimas. Ou seja, o malware primeiro infecta o PC de uma pessoa – normalmente por meio de spam malicioso ou download duvidoso, etc. – e depois vasculha a máquina em busca, entre outras coisas, de cookies de sessão do navegador da web que podem ser usados para fazer login em contas.
Esses tokens de sessão são então filtrados para os operadores do malware para entrar e sequestrar essas contas. Acontece que esses tokens ainda podem ser usados para fazer login, mesmo que o usuário perceba que foi comprometido e altere sua senha do Google.
Aqui está uma parte importante: parece que os usuários que tiveram seus cookies roubados deveriam sair completamente e, assim, invalidar seus tokens de sessão, para evitar exploração.
MultiLogin é responsável por sincronizar contas do Google em diferentes serviços. Ele aceita um vetor de IDs de conta e tokens de login de autenticação para gerenciar sessões simultâneas ou alternar entre perfis de usuário.
A engenharia reversa do malware ladrão de informações revelou que os IDs das contas e os tokens de login de autenticação das contas do Google logadas são retirados da tabela token_service do WebData no Chrome.
Esta tabela contém duas colunas cruciais para a funcionalidade do exploit: serviço (contém um ID GAIA) e token_criptografado. Este último é descriptografado usando uma chave armazenada no arquivo Local State do Chrome, que reside no diretório UserData.
Os pares token roubado: GAIA ID podem então ser usados junto com o MultiLogin para regenerar continuamente os cookies de serviço do Google, mesmo depois que as senhas forem redefinidas, e esses podem ser usados para fazer login.
Pavan Karthick M, pesquisador de inteligência de ameaças da CloudSEK, avalia que a descoberta fornece evidências do alto grau de sofisticação dos cibercriminosos. No caso de Lumma, cada par token:GAIA ID é criptografado pelo malware, mascarando os detalhes mais sutis do mecanismo.
Em uma atualização mais recente, no entanto, Lumma introduziu proxies SOCKS para contornar as restrições baseadas em IP do Google à regeneração de tokens. Ao fazer isso, os desenvolvedores do malware agora expõem alguns detalhes das solicitações e respostas, potencialmente desfazendo alguns de seus esforços anteriores para ocultar o funcionamento interno da funcionalidade.
A criptografia do tráfego entre o C2 e o MultiLogin do malware também diminui as chances de medidas de segurança padrão detectarem a atividade maliciosa, disse Karthick, uma vez que o tráfego criptografado tem maior probabilidade de ser ignorado.
“A decisão tática de criptografar o principal componente da exploração mostra um movimento deliberado em direção a ameaças cibernéticas mais avançadas e furtivas”, acrescentou. “Isso significa uma mudança no cenário de desenvolvimento de malware, onde a ênfase está cada vez mais na ocultação e proteção de metodologias de exploração, bem como na eficácia das próprias explorações”.
Strong The One abordou o Google para obter informações sobre seus planos para enfrentar a ameaça e não recebeu resposta no momento da publicação. Como dissemos, alterar sua senha e sair completamente e entrar novamente parece impedir que os tokens sejam revividos. Avisaremos se esse for certamente o caso. ®
Atualizado às 1009 UTC em 3 de janeiro de 2024, para adicionar
O Google confirmou que se seus tokens de sessão foram roubados por malware local, não altere apenas sua senha: saia para invalidar esses cookies e/ou revogue o acesso aos dispositivos comprometidos.
“O Google está ciente de relatos recentes de uma família de malware roubando tokens de sessão”, disse-nos um porta-voz. “Ataques envolvendo malware que roubam cookies e tokens não são novos; atualizamos rotineiramente nossas defesas contra essas técnicas e para proteger os usuários que são vítimas de malware. Nesse caso, o Google tomou medidas para proteger todas as contas comprometidas detectadas.
“No entanto, é importante observar um equívoco nos relatórios que sugere que tokens e cookies roubados não podem ser revogados pelo usuário. Isso é incorreto, pois sessões roubadas podem ser invalidadas simplesmente saindo do navegador afetado ou revogadas remotamente por meio dos dispositivos do usuário Continuaremos monitorando a situação e fornecendo atualizações conforme necessário.
“Enquanto isso, os usuários devem tomar medidas contínuas para remover qualquer malware de seus computadores e recomendamos ativar a Navegação segura aprimorada no Chrome para se proteger contra phishing e downloads de malware”.
.
