Несколько семейств вредоносных программ, ворующих информацию, злоупотребляют недокументированной конечной точкой Google OAuth под названием «MultiLogin» для восстановления просроченных файлов cookie аутентификации и входа в учетные записи пользователей, даже если пароль учетной записи был сброшен.
Технологический веб-сайт BleepingComputer отметил, что в конце ноября этого года они сообщили о двух хакерах: Ламме и Радамантисе, которые утверждали, что могут восстановить просроченные файлы cookie аутентификации Google, украденные в результате атаки. Эти файлы cookie по-прежнему могут позволить киберпреступникам получить несанкционированный доступ к учетным записям Google, даже если законный владелец вышел из системы, сбросил свой пароль или срок сеанса истек. Но за последний месяц или около того BleepingComputer несколько раз связывался с Google, чтобы узнать о правдивости утверждений и о том, как они планируют решить проблему, но так и не получил ответа.
Отчет, недавно опубликованный исследователями CloudSEK, проливает дополнительный свет на то, как работает этот эксплойт нулевого дня, и рисует пугающую картину его масштабов. 20 октября злоумышленник PRISMA впервые раскрыл эту уязвимость, заявив, что они нашли способ восстановить просроченные файлы cookie аутентификации Google.
После обратного проектирования уязвимости компания CloudSEK обнаружила, что она использует недокументированную конечную точку Google OAuth под названием «MultiLogin», которая предназначена для синхронизации учетных записей между различными службами Google путем принятия идентификаторов учетных записей и векторов токенов аутентификации.
«Этот запрос используется для установки файла cookie аутентификации Google в браузере для учетной записи Chrome на нескольких сайтах Google (например, YouTube)».
«Этот запрос является частью API Gaia Auth и запускается всякий раз, когда учетная запись в файле cookie не совпадает с учетной записью в браузере».
Вредоносное ПО для кражи информации, которое злоупотребляет этой конечной точкой, извлекает токены и идентификаторы учетных записей для профилей Chrome, зарегистрированных в учетных записях Google, сообщает CloudSEK. Эта украденная информация содержит две ключевые данные: сервис (идентификатор GAIA) и зашифрованный_токен.
Зашифрованный токен расшифровывается с помощью ключа шифрования, хранящегося в файле «Локальное состояние» Chrome. Тот же ключ шифрования также используется для расшифровки паролей, сохраненных в браузере. Используя украденный токен: GAIA в сочетании с конечной точкой с несколькими входами позволяет злоумышленникам восстанавливать просроченные файлы cookie службы Google и поддерживать постоянный доступ к скомпрометированным учетным записям.
Исследователь CloudSek Паван Картик заявил, что они провели реверс-инжиниринг уязвимости и смогли использовать ее для восстановления просроченных файлов cookie аутентификации Google, как показано ниже:
Картик объяснил, что если пользователь сбрасывает свой пароль Google, файл cookie аутентификации может быть восстановлен только один раз. В противном случае его можно будет повторно создать несколько раз, обеспечив постоянный доступ к учетной записи.
Lumma Steer впервые воспользовался этой уязвимостью 14 ноября, Radamanthys первым последовал этому примеру 17 ноября, за ним последовали Stealc 1 декабря, Medusa 11 декабря, RisePro 12 декабря и Whitesnake 26 декабря. В результате в настоящее время существует как минимум шесть похитителей информации, утверждающих, что они могут восстанавливать файлы cookie Google с помощью этой конечной точки API.
С тех пор Lumma выпустила обновленную версию уязвимости: вместо этого она использует прокси-сервер SOCKS, чтобы обойти меры Google по обнаружению злоупотреблений и включить зашифрованную связь между вредоносным ПО и конечной точкой MultiLogin; чтобы компенсировать меры Google по смягчению последствий.
BleepingComputer считает, что это на самом деле показывает, что Google знает о существовании этой уязвимости. Однако компания не подтвердила, что конечная точка MultiLogin подверглась злоупотреблениям, поэтому статус эксплойта и меры по его устранению остаются неясными.