Informatiestelende malware maakt actief misbruik van een ongedocumenteerd Google OAuth-eindpunt genaamd MultiLogin om gebruikerssessies te kapen en continue toegang tot Google-services mogelijk te maken, zelfs na het opnieuw instellen van het wachtwoord.
Volgens CloudSEK is de kritische exploit vergemakkelijkt sessiepersistentie en het genereren van cookies, waardoor bedreigingsactoren op ongeautoriseerde wijze toegang kunnen behouden tot een geldige sessie.
De techniek werd voor het eerst onthuld door een bedreigingsacteur genaamd PRISMA op 20 oktober 2023 op hun Telegram-kanaal. Het is sindsdien opgenomen in verschillende Malware-as-a-Service (MaaS)-stealerfamilies, zoals Lumma, Rhadamanthys, Stealc, Meduza, RisePro en WhiteSnake.
Een reverse engineering van de Lumma Stealer-code heeft onthuld dat de techniek zich richt op de “Chrome’s token_service-tabel van WebData om tokens en account-ID’s van ingelogde Chrome-profielen te extraheren”, aldus beveiligingsonderzoeker Pavan Karthick M. “Deze tabel bevat twee cruciale kolommen: service (GAIA ID) en Encrypted_token.”
Dit token:GAIA ID-paar wordt vervolgens gecombineerd met het MultiLogin-eindpunt om Google-authenticatiecookies opnieuw te genereren.
Karthick vertelde The Hacker News dat er drie verschillende scenario’s voor het genereren van token-cookies zijn getest:
- Wanneer de gebruiker is ingelogd met de browser, in welk geval het token een onbeperkt aantal keren kan worden gebruikt.
- Wanneer de gebruiker het wachtwoord wijzigt maar Google ingelogd laat blijven. In dat geval kan het token slechts één keer worden gebruikt, omdat het token al één keer is gebruikt om de gebruiker ingelogd te laten blijven.
- Als de gebruiker zich afmeldt bij de browser, wordt het token ingetrokken en verwijderd uit de lokale opslag van de browser, die opnieuw wordt gegenereerd wanneer hij opnieuw inlogt.
Toen Google om commentaar werd gevraagd, erkende het het bestaan van de aanvalsmethode, maar merkte op dat gebruikers de gestolen sessies kunnen intrekken door uit te loggen bij de getroffen browser.
“Google is op de hoogte van recente rapporten over een malwarefamilie die sessietokens steelt”, vertelde het bedrijf aan The Hacker News. “Aanvallen met malware die cookies en tokens stelen zijn niet nieuw; we upgraden routinematig onze verdediging tegen dergelijke technieken en om gebruikers te beveiligen die het slachtoffer worden van malware. In dit geval heeft Google actie ondernomen om gedetecteerde gecompromitteerde accounts te beveiligen.”
Het bedrijf raadde gebruikers verder aan om dit in te schakelen Verbeterd Veilig browsen in Chrome om te beschermen tegen phishing en malwaredownloads.
“Het wordt geadviseerd om wachtwoorden te wijzigen, zodat de bedreigingsactoren geen auth-stromen voor het opnieuw instellen van wachtwoorden gebruiken om wachtwoorden te herstellen”, aldus Karthick. “Gebruikers moeten ook worden geadviseerd hun accountactiviteit te controleren op verdachte sessies die afkomstig zijn van IP’s en locaties die ze niet herkennen.”
“De verduidelijking van Google is een belangrijk aspect van de gebruikersveiligheid”, zegt Alon Gal, medeoprichter en chief technology officer van Hudson Rock, die eerder onthuld details van de exploit eind vorig jaar.
“Het incident werpt echter licht op een geavanceerde exploit die de traditionele methoden voor het beveiligen van accounts op de proef kan stellen. Hoewel de maatregelen van Google waardevol zijn, benadrukt deze situatie de noodzaak van meer geavanceerde beveiligingsoplossingen om zich ontwikkelende cyberdreigingen tegen te gaan, zoals in het geval van infostealers die zijn tegenwoordig enorm populair onder cybercriminelen.”
(Het verhaal is na publicatie bijgewerkt met aanvullende opmerkingen van CloudSEK en Alon Gal.)
