Το κακόβουλο λογισμικό Lumma που κλέβει πληροφορίες (γνωστός και ως «
LummaC2
») προωθεί μια νέα δυνατότητα που φέρεται να επιτρέπει στους εγκληματίες του κυβερνοχώρου να επαναφέρουν τα cookie της Google που έχουν λήξει, τα οποία μπορούν να χρησιμοποιηθούν για την παραβίαση λογαριασμών Google.
Τα cookie περιόδου λειτουργίας είναι συγκεκριμένα cookies ιστού που χρησιμοποιούνται για να επιτρέπουν σε μια περίοδο περιήγησης να συνδέεται αυτόματα στις υπηρεσίες ενός ιστότοπου. Καθώς αυτά τα cookies επιτρέπουν σε οποιονδήποτε τα κατέχει να συνδεθεί στον λογαριασμό του κατόχου, συνήθως έχουν περιορισμένη διάρκεια ζωής για λόγους ασφαλείας ώστε να αποφευχθεί η κακή χρήση σε περίπτωση κλοπής.
Η επαναφορά αυτών των cookie θα επιτρέψει στους χειριστές Lumma να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε οποιονδήποτε Λογαριασμό Google ακόμη και μετά την αποσύνδεση του νόμιμου κατόχου από τον λογαριασμό τους ή τη λήξη της συνεδρίας τους.
Ο Alon Gal του Hudson Rock
εντοπίστηκε για πρώτη φορά
μια ανάρτηση στο φόρουμ από τους
προγραμματιστές
του info-stealer που υπογραμμίζει μια ενημέρωση που κυκλοφόρησε στις 14 Νοεμβρίου, ισχυριζόμενη την “ικανότητα επαναφοράς νεκρών cookie χρησιμοποιώντας ένα κλειδί από αρχεία επαναφοράς (ισχύει μόνο για τα cookies Google).”
Η Lumma ανακοινώνει ένα νέο, ισχυρό
χαρακτηριστικό
Πηγή: BleepingComputer
Αυτή η νέα δυνατότητα ήταν διαθέσιμη μόνο σε συνδρομητές του υψηλότερου επιπέδου “Εταιρικού” προγράμματος, το οποίο κοστίζει στους εγκληματίες του κυβερνοχώρου 1.000 $/μήνα.
Η ανάρτηση του φόρουμ διευκρινίζει επίσης ότι κάθε κλειδί μπορεί να χρησιμοποιηθεί δύο φορές, έτσι ώστε η επαναφορά των cookie να μπορεί να λειτουργήσει μόνο μία φορά. Αυτό θα ήταν ακόμα αρκετό για να εξαπολύσει καταστροφικές επιθέσεις σε οργανισμούς που κατά τα άλλα ακολουθούν καλές πρακτικές ασφαλείας.
Αυτή η νέα δυνατότητα που φέρεται να εισήχθη στις πρόσφατες εκδόσεις του Lumma δεν έχει ακόμη επαληθευτεί από ερευνητές ασφαλείας ή την Google, επομένως παραμένει αβέβαιο εάν λειτουργεί ή όχι όπως διαφημίζεται.
Ωστόσο, αξίζει να αναφέρουμε ότι ένας άλλος κλέφτης, ο Rhadamanthys, ανακοίνωσε παρόμοια δυνατότητα σε πρόσφατη ενημέρωση, αυξάνοντας την πιθανότητα οι δημιουργοί κακόβουλου λογισμικού να ανακαλύψουν ένα εκμεταλλεύσιμο κενό ασφαλείας.
Ο Rhadamanthys Stealer ισχυρίζεται επίσης ότι προσφέρει αποκατάσταση cookie της Google
Πηγή:
@g0njxa
Το BleepingComputer έχει επικοινωνήσει με την Google πολλές φορές ζητώντας ένα σχόλιο σχετικά με την πιθανότητα οι δημιουργοί κακόβουλου λογισμικού να έχουν ανακαλύψει μια ευπάθεια στα cookie περιόδου λειτουργίας, αλλά δεν έχουμε λάβει ακόμη απάντηση.
Λίγες ημέρες μετά την
επικοινωνία
με την Google, οι προγραμματιστές της Lumma κυκλοφόρησαν μια ενημέρωση που ισχυρίζεται ότι είναι μια πρόσθετη λύση για την παράκαμψη των περιορισμών που εισήχθη πρόσφατα από την Google για την αποτροπή της επαναφοράς των cookie.
Ενημέρωση Lumma για την αντιμετώπιση των περιορισμών
Πηγή: BleepingComputer
Το BleepingComputer προσπάθησε επίσης να μάθει περισσότερα για το πώς λειτουργεί το χαρακτηριστικό και ποια αδυναμία εκμεταλλεύεται απευθείας από το Lumma. Ωστόσο, ένας “πράκτορας υποστήριξης” της λειτουργίας κακόβουλου λογισμικού αρνήθηκε να μοιραστεί οτιδήποτε σχετικά με αυτό.
Όταν ρωτήθηκε για το παρόμοιο χαρακτηριστικό που πρόσθεσε πρόσφατα ο Rhadamantis, ο ατζέντης της Lumma μας είπε ότι οι ανταγωνιστές τους είχαν αντιγράψει απρόσεκτα το χαρακτηριστικό από τον κλέφτη τους.
Εάν οι κλέφτες πληροφοριών μπορούν πράγματι να επαναφέρουν τα cookie της Google που έχουν λήξει, όπως προωθούνται, δεν μπορούν να κάνουν τίποτα οι χρήστες για να προστατεύσουν τους λογαριασμούς τους έως ότου η Google προχωρήσει σε μια λύση, εκτός από την πρόληψη της μόλυνσης από κακόβουλο λογισμικό που οδηγεί στην κλοπή αυτών των cookie.
Οι προφυλάξεις περιλαμβάνουν την αποφυγή λήψεων αρχείων torrent και εκτελέσιμων αρχείων από αμφίβολους ιστότοπους και την παράλειψη προωθημένων αποτελεσμάτων στην Αναζήτηση Google.
VIA:
bleepingcomputer.com