Google sta minimizzando le segnalazioni di malware che abusano di un’API non documentata di Google Chrome per generare nuovi cookie di autenticazione quando quelli precedentemente rubati sono scaduti.
Contesto dell’Abuso dell’API
A fine novembre 2023, Matrice Digitale ha riferito su due operazioni di malware per il furto di informazioni, denominate Lumma e Rhadamanthys, che affermavano di poter ripristinare i cookie di autenticazione Google scaduti rubati negli attacchi. Questi cookie potevano poi essere caricati nei browser degli attori delle minacce per accedere agli account Google degli utenti infetti.
Da allora, altri quattro malware per il furto di informazioni hanno adottato la stessa tecnica, tra cui Stealc, Medusa, RisePro e Whitesnake.
La scorsa settimana, la società di cybersecurity CloudSEK ha rivelato che queste operazioni di malware per il furto di informazioni stanno abusando di un endpoint dell’API “MultiLogin” di Google OAuth per generare nuovi cookie di autenticazione funzionanti quando i cookie Google originali rubati della vittima scadono. Questa API è pensata per sincronizzare gli account su diversi servizi Google accettando un vettore di ID account e token di autenticazione.
Risposta di Google
Tuttavia, Google considera questo abuso dell’API come un normale furto di cookie basato su malware. “Google è a conoscenza di recenti segnalazioni di una famiglia di malware che ruba token di sessione”, ha dichiarato Google a BleepingComputer. “Gli attacchi che coinvolgono malware che rubano cookie e token non sono nuovi; miglioriamo regolarmente le nostre difese contro tali tecniche e per proteggere gli utenti che cadono vittime di malware. In questo caso, Google ha preso provvedimenti per proteggere gli account compromessi rilevati.”
Fonti informate su questa questione hanno detto a BleepingComputer che Google ritiene che l’API stia funzionando come previsto e che nessuna vulnerabilità venga sfruttata dal malware.
La soluzione di Google a questo problema è semplicemente far disconnettere gli utenti dal loro browser Chrome dal dispositivo interessato o terminare tutte le sessioni attive tramite g.co/mydevices. Questo invaliderà il token di aggiornamento e lo renderà inutilizzabile con l’API.
Raccomandazioni di Google
Google raccomanda inoltre di rimuovere qualsiasi malware dal computer e di attivare la Navigazione Sicura Avanzata in Chrome per proteggersi da phishing e download di malware. Tuttavia, la maggior parte delle persone infettate da questo tipo di malware non saprà quando eseguire questi passaggi.