Новый метод взлома угрожает безопасности аккаунтов Google

[Artifact]

Почему этот эксплоит отличается от всего, что мы видели ранее.

Согласно отчету , представленному компанией CloudSEK, новый метод взлома позволяет злоумышленникам эксплуатировать функциональность протокола авторизации OAuth 2.0 для компрометации аккаунтов Google. Этот метод позволяет поддерживать действительные сессии, регенерируя куки-файлы, даже после смены IP-адреса или пароля.
Атака, осуществляемая с помощью недокументированной точки доступа Google Oauth, под названием "MultiLogin", была выявлена командой исследователей CloudSEK. "MultiLogin" — это внутренний механизм, предназначенный для синхронизации аккаунтов Google через различные сервисы, что обеспечивает соответствие состояний аккаунтов в браузере с куки-файлами аутентификации Google.
Отмечается, что разработчик эксплоита выразил готовность к сотрудничеству, что ускорило обнаружение точки доступа, ответственной за регенерацию куки-файлов.
Эксплоит был интегрирован в вредоносную программу Lumma Infostealer 14 ноября. Основные особенности Lumma включают в себя постоянство сессии и генерацию куки-файлов. Программа нацелена на извлечение необходимых секретов, токенов и идентификаторов аккаунтов, атакуя таблицу token_service в WebData залогиненных профилей Chrome.
"Сессия остается действительной, даже когда пароль аккаунта изменяется, что представляет собой уникальное преимущество в обходе типичных мер безопасности," - цитирует отчет слова PRISMA, автора эксплоита.
Исследователи отмечают тревожную тенденцию к быстрой интеграции эксплоитов среди различных киберпреступных групп. Эксплуатация недокументированной точки доступа Google OAuth2 MultiLogin представляет собой яркий пример сложности, поскольку подход основан на тонкой манипуляции токеном GAIA ID (Google Accounts and ID administration). Вредоносное ПО скрывает механизм эксплоита с помощью слоя шифрования.
Эта техника эксплуатации демонстрирует высокий уровень сложности и понимания внутренних механизмов аутентификации Google. Манипулируя парой "токен: GAIA ID", Lumma может постоянно регенерировать куки-файлы для сервисов Google. Особенно тревожно, что этот эксплоит остается эффективным даже после сброса паролей пользователей, что позволяет осуществлять продолжительную и потенциально незаметную эксплуатацию пользовательских аккаунтов и данных," заключила команда CloudSEK.