Malware e Google MultiLogin: Accesso Persistente Nonostante il Reset della Password
Malware e l’Utilizzo Dell’Exploit Google MultiLogin per un Accesso Persistente
Il malware per il furto di informazioni sfrutta attivamente un endpoint OAuth non documentato di Google denominato MultiLogin. Questo exploit consente ai criminali di dirottare le sessioni degli utenti e mantenere l’accesso ai servizi Google, anche dopo un reset della password.
Secondo CloudSEK, questo exploit critico permette la persistenza della sessione e la generazione di cookie, offrendo agli attori minacciosi un accesso non autorizzato e persistente.
Il metodo è stato inizialmente esposto da un attore noto come PRISMA il 20 ottobre 2023, tramite il loro canale Telegram. Da allora, è stato adottato in varie famiglie di malware-as-a-service (MaaS), tra cui Lumma, Rhadamanthys, Stealc, Meduza, RisePro e WhiteSnake.
L’endpoint MultiLogin è concepito principalmente per sincronizzare gli account Google tra servizi quando gli utenti accedono attraverso il browser Chrome (ad esempio, i profili).
Un’analisi del codice di Lumma Stealer ha rivelato che la tecnica si concentra sul “token_service table di WebData di Chrome per estrarre token e ID account dei profili Chrome connessi,” ha spiegato il ricercatore di sicurezza Pavan Karthick M. “Questo database contiene due colonne cruciali: service (ID GAIA) e encrypted_token.”
Questa coppia token:ID GAIA viene combinata con l’endpoint MultiLogin per ricreare i cookie di autenticazione di Google.
Karthick ha detto a The Hacker News di aver testato tre differenti scenari di generazione di token-cookie:
- Quando l’utente è connesso al browser, il token può essere utilizzato in modo illimitato.
- Se l’utente cambia la password lasciando comunque Google connesso, il token può essere usato solo una volta, poiché è già stato utilizzato per mantenere l’accesso.
- Se l’utente esce dal browser, il token verrà revocato e cancellato dalla memoria locale del browser, ma sarà rigenerato al successivo accesso.
Google, sollecitata a commentare, ha riconosciuto l’attacco e ha indicato che gli utenti possono revocare le sessioni compromesse disconnettendosi dal browser interessato.
“Google è a conoscenza di segnalazioni riguardo a un malware che ruba token di sessione,” ha dichiarato l’azienda a The Hacker News. “Rafforziamo costantemente le nostre difese contro questi attacchi per proteggere gli utenti. In questo caso, abbiamo preso misure per proteggere gli account compromessi individuati.”
“Tuttavia, è importante chiarire che i token e i cookie rubati possono essere revocati dagli utenti,” ha aggiunto. “Le sessioni rubate possono essere invalidate semplicemente uscendo dal browser interessato o tramite la pagina dei dispositivi dell’utente. Continueremo a monitorare la situazione e forniremo aggiornamenti se necessario.”
Google ha anche consigliato di attivare l’Enhanced Safe Browsing su Chrome per proteggersi da phishing e download di malware.
“È consigliabile cambiare le password per evitare che gli attaccanti sfruttino i reset delle password,” ha suggerito Karthick. “Inoltre, monitorare l’attività dell’account per sessioni sospette può essere utile.”
“La precisazione di Google è importante per la sicurezza degli utenti,” ha dichiarato Alon Gal, co-fondatore e direttore tecnico di Hudson Rock, il quale aveva precedentemente divulgato i dettagli dell’exploit.
“Questo episodio evidenzia l’importanza di soluzioni di sicurezza avanzate di fronte a minacce informatiche in evoluzione, come gli infostealer che stanno diventando popolari tra i criminali informatici.”