Η Google υποβαθμίζει τις αναφορές κακόβουλου λογισ
μι
κού που κάνει κατάχρηση ενός μη τεκμηριωμένου API του Google Chrome για τη δημιουργία νέων cookie ελέγχου ταυτότητας όταν έχουν λήξει τα προηγουμένως κλεμμένα.
Στα τέλη Νοεμβρίου 2023, η BleepingComputer ανέφερε για δύο λειτουργίες κλοπής πληροφοριών κακόβουλου λογισμικού που ονομάζονταν Lumma και Rhadamanthys, υποστηρίζοντας ότι μπορούσαν να
επα
ναφέρουν τα ληγμένα cookie ελέγχου ταυτότητας της Google που είχαν κλαπεί σε επιθέσεις.
Αυτά τα cookie θα μπορούσαν στη συνέχεια να φορτωθούν στα προγράμματα περιήγησης των παραγόντων απειλών για να αποκτήσουν πρόσβαση στους λογαριασμούς Google ενός μολυσμένου χρήστη.
Από τότε, τέσσερις άλλοι κλέφτες πληροφοριών έχουν υιοθετήσει την ίδια
τεχν
ική, συμπεριλαμβανομένων των Stealc την 1η Δεκεμβρίου, Medusa στις 11 Δεκεμβρίου, RisePro στις 12 Δεκεμβρίου και Whitesnake στις 26 Δεκεμβρίου.
Την περασμένη εβδομάδα, εταιρεία κυβερνοασφάλειας
αποκάλυψε το CloudSEK
ότι αυτές οι λειτουργίες κακόβουλου λογισμικού κλοπής πληροφοριών καταχρώνται ένα τελικό σημείο API “MultiLogin” του Google OAuth για τη δημιουργία νέων, λειτουργικών cookie ελέγχου ταυτότητας όταν λήξουν τα αρχικά κλεμμένα cookie Google του θύματος.
Αυτό το API πιστεύεται ότι έχει σχεδιαστεί για συγχρονισμό λογαριασμών σε διαφορετικές υπηρεσίες Google, αποδεχόμενος ένα διάνυσμα αναγνωριστικών λογαριασμών και διακριτικών ταυτότητας σύνδεσης.
Οι προσπάθειες του BleepingComputer να μάθει περισσότερα σχετικά με αυτό το API από την Google ήταν ανεπιτυχείς και η μόνη τεκμηρίωση βρίσκεται στο
Ο πηγαίος κώδικας του Google Chrome
.
Πηγαίος κώδικας
του Google Chrome για το τελικό σημείο MultiLogon
Ερευνητής CloudSEK
Pavan Karthick
είπε στο BleepingComputer ότι το κακόβουλο λογισμικό κλοπής πληροφοριών που κάνει κατάχρηση αυτής της δυνατότητας θα κλέψει πλέον πολλά διακριτικά από το Google Chrome.
Αυτά τα διακριτικά περιλαμβάνουν τυχόν cookie ελέγχου ταυτότητας για ιστότοπους της Google και ένα ειδικό διακριτικό που μπορεί να χρησιμοποιηθεί για την ανανέωση ή τη δημιουργία νέων διακριτικών ελέγχου ταυτότητας.
Καθώς τα κανονικά cookie ελέγχου ταυτότητας λήγουν μετά από ένα ορισμένο χρονικό διάστημα, τελικά γίνονται άχρηστα για τον παράγοντα απειλής.
Ωστόσο, εφόσον ο χρήστης δεν έχει αποσυνδεθεί από το Google Chrome ή δεν έχει ανακαλέσει όλες τις περιόδους σύνδεσης που σχετίζονται με τους λογαριασμούς του, οι φορείς απειλών μπορούν να χρησιμοποιήσουν αυτό το ειδικό διακριτικό “Ανανέωση” για να δημιουργήσουν ολοκαίνουργια διακριτικά ελέγχου ταυτότητας όταν λήξουν τα προηγούμενα.
Αυτά τα νέα διακριτικά τους επιτρέπουν να συνεχίσουν να έχουν πρόσβαση στους λογαριασμούς για πολύ περισσότερο από ό,τι θα επιτρεπόταν συνήθως.
Όχι μόνο η τυπική σας κλοπή cookie
Δυστυχώς, η Google θεωρεί αυτήν την κατάχρηση API απλώς ως την κανονική σας κλοπή cookie που βασίζεται σε κακόβουλο λογισμικό σε ποικιλία κήπου.
«Η Google γνωρίζει τις πρόσφατες αναφορές μιας οικογένειας κακόβουλου λογισμικού που κλέβει διακριτικά συνεδρίας», είπε η Google σε δήλωση στο BleepingComputer την περασμένη εβδομάδα.
“Οι επιθέσεις που περιλαμβάνουν κακόβουλο λογισμικό που κλέβουν cookies και token δεν είναι νέες. Αναβαθμίζουμε τακτικά την άμυνά μας έναντι τέτοιων τεχνικών και για να προστατεύουμε τους χρήστες που πέφτουν θύματα κακόβουλου λογισμικού. Σε αυτήν την περίπτωση, η Google έχει λάβει μέτρα για την προστασία τυχόν παραβιασμένων λογαριασμών που εντοπίστηκαν.”
Ωστόσο, πηγές εξοικειωμένες με αυτό το ζήτημα είπαν στο BleepingComputer ότι η Google πιστεύει ότι το API λειτουργεί όπως προβλέπεται και ότι καμία ευπάθεια δεν γίνεται αντικείμενο εκμετάλλευσης από το κακόβουλο λογισμικό.
Η λύση της Google σε αυτό το ζήτημα είναι απλώς να ζητά από τους χρήστες να αποσυνδεθούν από το πρόγραμμα περιήγησής τους Chrome από τη συσκευή που επηρεάζεται ή να σκοτώνουν όλες τις ενεργές περιόδους σύνδεσης μέσω
g.co/mydevices
. Κάτι τέτοιο θα ακυρώσει το διακριτικό Ανανέωσης και θα το καταστήσει άχρηστο με το API.
Καθώς το κακόβουλο λογισμικό κλοπής πληροφοριών έκλεψε τα διαπιστευτήριά σας, θα πρέπει επίσης να αλλάξετε τον κωδικό πρόσβασής σας στο Google χωρίς προσοχή, ειδικά εάν χρησιμοποιείτε τα ίδια διαπιστευτήρια σε άλλους ιστότοπους.
“Εν τω μεταξύ, οι χρήστες θα πρέπει να λαμβάνουν συνεχώς μέτρα για την αφαίρεση τυχόν κακόβουλου λογισμικού από τον υπολογιστή τους και συνιστούμε να ενεργοποιήσετε την Ενισχυμένη Ασφαλή περιήγηση στο Chrome για προστασία από λήψεις ηλεκτρονικού “ψαρέματος” και κακόβουλου λογισμικού”, συνιστά περαιτέρω η Google.
Ενώ αυτά τα συνιστώμενα βήματα θα μετριάσουν τον αντίκτυπο των μολύνσεων από κακόβουλο λογισμικό που κλέβουν πληροφορίες, οι περισσότεροι άνθρωποι που έχουν μολυνθεί με αυτόν τον τύπο κακόβουλου λογισμικού δεν θα γνωρίζουν πότε να κάνουν αυτά τα βήματα.
Όταν οι άνθρωποι μολύνονται με κακόβουλο λογισμικό κλοπής πληροφοριών, συνήθως δεν το γνωρίζουν έως ότου γίνει πρόσβαση στους λογαριασμούς τους χωρίς άδεια και κατάχρηση με κάποιο ανιχνεύσιμο τρόπο.
Για παράδειγμα, ένας υπάλληλος της Orange España, του δεύτερου μεγαλύτερου παρόχου κινητής τηλεφωνίας της χώρας, του έκλεψαν τους κωδικούς πρόσβασης από κακόβουλο λογισμικό που κλέβει πληροφορίες.
Ωστόσο, κανείς δεν ήξερε έως ότου χρησιμοποιήθηκαν κλεμμένα διαπιστευτήρια για τη σύνδεση στον λογαριασμό RIPE της εταιρείας και την τροποποίηση της διαμόρφωσης BGP, προκαλώντας 50% επιτυχία στην απόδοση και διακοπές Διαδικτύου για τους πελάτες της Orange.
Ενώ η Google λέει ότι εντόπισε όσους επηρεάστηκαν από αυτήν την κατάχρηση API και τους ειδοποίησε, τι συμβαίνει με τα μελλοντικά θύματα;
Επιπλέον
, πώς θα γνωρίζουν οι χρήστες ότι πρέπει να αποσυνδεθούν από το πρόγραμμα περιήγησής τους για να ακυρώσουν τα διακριτικά ελέγχου ταυτότητας όταν δεν γνωρίζουν καν ότι έχουν μολυνθεί από την αρχή.
Για αυτόν τον λόγο, μια καλύτερη λύση θα ήταν να περιοριστεί η πρόσβαση σε αυτό το API με κάποιο τρόπο για να αποτραπεί η κατάχρηση από τις λειτουργίες κακόβουλου λογισμικού ως υπηρεσία. Δυστυχώς, αυτό δεν φαίνεται να συμβαίνει.
Η BleepingComputer ρώτησε την Google τι σχέδια έχει για να μετριάσει αυτήν την κατάχρηση API, αλλά δεν έχει λάβει απάντηση σε αυτές τις ερωτήσεις.
VIA:
bleepingcomputer.com
