Mehrere Informationen stehlende Malware-Stämme nutzen aktiv einen undokumentierten Google OAuth-Endpunkt namens MultiLogin aus, um die Macht zu übernehmen Google-Konten auch nach einem Passwort-Reset.
Wie berichtet von BleepingComputerMit diesem Exploit können bestimmte Malware-Stämme abgelaufene Authentifizierungscookies wiederherstellen, die dann für die Anmeldung bei den Google-Konten der Opfer verwendet werden.
Von den verschiedenen Browser-Cookies, die im Internet verwendet werden, Sitzungscookies sind eine spezielle Art von Cookies, die Authentifizierungsinformationen enthalten. Wenn Sie jemals Ihren Browser geöffnet und direkt zu einer Website gegangen sind, auf der Sie sich zuvor angemeldet haben, erfolgt dies mithilfe von Sitzungscookies. Allerdings sind diese Arten von Cookies so konzipiert, dass sie nur eine kurze Lebensdauer haben, bevor sie ablaufen, sodass sie nicht von Hackern verwendet werden können, um sich auf unbestimmte Zeit bei gestohlenen Konten anzumelden.
Bereits im November letzten Jahres entdeckten die Cyberkriminellen dahinter Lumma Und Rhadamanthys Malware-Stämme, die Informationen stehlen, behaupteten, sie könnten abgelaufene Google-Authentifizierungscookies wiederherstellen, die bei Cyberangriffen gestohlen wurden. Mit diesen Cookies kann sich ein Hacker jedoch unbefugten Zugriff auf Ihr Google-Konto verschaffen, selbst nachdem Sie sich abgemeldet, Ihr Passwort zurückgesetzt oder die Sitzung abgelaufen ist.
Wiederherstellen abgelaufener Google-Authentifizierungscookies
Um besser zu erklären, wie Hacker diese neue Funktion nutzen Zero-Day-Exploitdas Cybersicherheitsunternehmen CloudSEK hat eine veröffentlicht neuer Bericht.
In dem Bericht erklären die Forscher des Unternehmens, dass der Exploit erstmals von einem Bedrohungsakteur namens PRISMA in einem aufgedeckt wurde Telegramm Beitrag im Oktober letzten Jahres. In dem Beitrag erklärten sie, dass sie eine Möglichkeit gefunden hätten, abgelaufene Google-Authentifizierungscookies wiederherzustellen.
Von hier aus hat CloudSEK den Exploit dann rückentwickelt, was zu der Entdeckung führte, dass es einen undokumentierten Google OAuth-Endpunkt namens MultiLogin verwendet, der zum Synchronisieren von Konten über eine Reihe verschiedener Google-Dienste hinweg verwendet wird.
Durch den Missbrauch dieses Endpunkts ist Malware, die Informationen stiehlt, in der Lage, Token und Konto-IDs aus Chrome-Profilen zu extrahieren, die in einem Google-Konto angemeldet sind. Diese gestohlenen Informationen enthalten zwei wichtige Daten: eine GAIA-ID und verschlüsselte Token. Diese verschlüsselten Token werden mithilfe einer Verschlüsselung entschlüsselt, die in der „Local State“-Datei von Chrome gespeichert ist. Dieser Verschlüsselungsschlüssel kann auch zum Entschlüsseln aller gespeicherten Passwörter im Browser eines Opfers verwendet werden.
Mithilfe der gestohlenen Token und des MultiLogin-Endpunkts von Google können Hacker abgelaufene Google-Service-Cookies neu generieren und dauerhaften Zugriff auf kompromittierte Konten aufrechterhalten. Beachten Sie jedoch, dass ein Authentifizierungscookie nur einmal neu generiert werden kann, wenn ein Nutzer sein Google-Passwort zurücksetzt. Ist dies jedoch nicht der Fall, kann es mehrmals regeneriert werden.
So schützen Sie sich vor Angriffen, die diese Zero-Day-Schwachstelle ausnutzen
Glücklicherweise ist sich Google dieses Problems bewusst und gibt dazu eine Stellungnahme ab Die Hacker-Newshat ein Unternehmenssprecher weitere Details sowie einige Tipps dazu bereitgestellt, wie sich Benutzer bei der Verwendung von Chrome schützen können.
Der Diebstahl von Cookies und Sitzungstokens ist nichts Neues und wie der Suchriese betont, hat er „Maßnahmen ergriffen, um alle erkannten kompromittierten Konten zu sichern“. Ebenso weist der Google-Sprecher darauf hin, dass durch „einfaches Abmelden aus dem betroffenen Browser“ die Sitzungscookies eines Nutzers gelöscht werden. Gleichzeitig empfiehlt das Unternehmen den Benutzern, sich einzuschalten Verbessertes sicheres Surfen in Chrome für zusätzlichen Schutz vor Malware und Phishing-Angriffe.
Außerdem sollten Sie Ihr Google-Passwort regelmäßig ändern, um Ihr Konto vor Hackern zu schützen. Wenn es Ihnen schwerfällt, neue Passwörter zu finden, a Passwortgenerator kann helfen und all das beste Passwort-Manager bieten diese Funktion ebenfalls an. Um sich und Ihre Geräte vor Malware und Hackern zu schützen, sollten Sie Folgendes verwenden beste Antivirensoftware auf Ihrem PC, die beste Mac-Antivirensoftware auf Ihren Apple-Computern und einem der beste Android-Antiviren-Apps auf Ihrem Android-Smartphone.
Da Hacker nun herausgefunden haben, wie sie ihrer Malware die Möglichkeit hinzufügen können, Sitzungscookies wiederherzustellen, ist davon auszugehen, dass weitere Malware-Stämme diese Funktion übernehmen werden, da Google daran arbeitet, gegen Cookie- und Token-Diebstahl in Chrome vorzugehen.