I malware per il furto di informazioni stanno attivamente sfruttando un endpoint OAuth di Google non documentato chiamato MultiLogin per dirottare le sessioni utente e consentire l’accesso continuo ai servizi Google anche dopo un reset della password.
Dettagli dell’Exploit
Secondo CloudSEK, l’exploit critico facilita la persistenza della sessione e la generazione di cookie, consentendo agli attori delle minacce di mantenere l’accesso a una sessione valida in modo non autorizzato. La tecnica è stata rivelata per la prima volta da un attore delle minacce chiamato PRISMA il 20 ottobre 2023 sul loro canale Telegram. Da allora, è stata incorporata in varie famiglie di malware-as-a-service (MaaS) stealer, come Lumma, Rhadamanthys, Stealc, Meduza, RisePro e WhiteSnake.
Funzionamento dell’Exploit di Google Multilogin
L’endpoint di autenticazione MultiLogin è progettato principalmente per sincronizzare gli account Google tra i servizi quando gli utenti accedono ai loro account nel browser web Chrome. Un’ingegneria inversa del codice Lumma Stealer ha rivelato che la tecnica prende di mira la “tabella token_service di Chrome di WebData per estrarre token e ID account dei profili Chrome loggati”. Questa tabella contiene due colonne cruciali: service (ID GAIA) e encrypted_token. Questa coppia token:ID GAIA viene poi combinata con l’endpoint MultiLogin per rigenerare i cookie di autenticazione di Google.
Risposta di Google e Consigli per la Sicurezza
Google ha riconosciuto l’esistenza del metodo di attacco, ma ha notato che gli utenti possono revocare le sessioni rubate effettuando il logout dal browser interessato. Google ha preso provvedimenti per proteggere gli account compromessi rilevati. È consigliato agli utenti di attivare la navigazione sicura avanzata in Chrome per proteggersi da phishing e download di malware. È anche consigliato cambiare le password in modo che gli attori delle minacce non possano utilizzare i flussi di autenticazione per il reset della password per ripristinare le password.
Implicazioni per la Sicurezza degli Utenti
Questo incidente mette in luce un exploit sofisticato che potrebbe sfidare i metodi tradizionali di protezione degli account. Mentre le misure di Google sono preziose, questa situazione evidenzia la necessità di soluzioni di sicurezza più avanzate per contrastare le minacce informatiche in evoluzione, come nel caso degli infostealer, che sono tremendamente popolari tra i criminali informatici.