Специалисты компании CloudSEK обратили внимание, что уже несколько инфостилеров предлагают такую «услугу», как восстановление файлов cookie Google для взлома учетных записей даже в том случае, если жертвы меняют свои пароли. Эксперты заявили, что для этого вредоносы злоупотребляют недокументированным API Google Chrome.
Впервые об этой проблеме стало известно еще осенью 2023 года, когда функциональность, позволяющая восстанавливать cookie Google (которые затем можно использовать для взлома аккаунтов жертв), появилась среди возможностей стилеров Lumma (он же LummaC2) и Rhadamanthys.
Как теперь сообщают в CloudSEK, с тех пор аналогичные опции появились и у других вредоносов, включая Stealc, Meduza, RisePro и WhiteSnake.
Эксперты обнаружили, что малварь эксплуатирует конечную точку API Google OAuth «MultiLogin» для создания новых, рабочих аутентификационных cookie, когда срок действия оригинальных, украденных у жертвы cookie Google истекает. Предполагается, что этот API предназначен для синхронизации учетных записей в различных сервисах Google посредством ID учетных записей и токенов аутентификации.
По словам исследователей, инфостилеры крадут сразу несколько токенов из Google Chrome. В число этих токенов входят все файлы cookie для аутентификации на сайтах Google, а также специальный токен, который можно использовать для обновления или генерирования новых токенов аутентификации.
Поскольку срок действия обычных аутентификационных cookie истекает через определенный промежуток времени, они становятся непригодными для использования. Однако если пользователь не вышел из Google Chrome и не аннулировал все сессии, связанные с его учетной записью, хакеры могут использовать специальный Refresh-токен для создания новых токенов (после истечения срока действия предыдущих).
Интересно, что в Google эту проблему рассматривают как обычную кражу файлов cookie с помощью малвари.
«Google известно о недавних сообщениях, относительно вредоносных программ, похищающих токены сеансов. Атаки с использованием вредоносных программ, похищающих файлы cookie и токены, не новы; мы регулярно совершенствуем наши средства защиты от подобных атак и обеспечиваем безопасность пользователей, ставших их жертвами. В данном случае Google приняла меры по защите всех обнаруженных скомпрометированных учетных записей», — сообщили в Google изданию BleepingComputer.
Собственные источники, знакомые с этой проблемой, сообщили журналистам, что разработчики Google уверены, что упомянутый API работает как должно, и малварь вовсе не злоупотребляет его возможностями.
Как отмечает BleepingComputer, наилучшим выходом из ситуации могло бы стать ограничение доступа к этому API, что предотвратило бы злоупотребления со стороны малвари. Однако пока единственным решением проблемы является полный выход из браузера Chrome на скомпрометированном малварью устройстве, а также закрытие всех активных сессий через g.co/mydevices. Это сделает токен Refresh недействительным и непригодным для использования API.
Увы, пользователи вряд ли смогут предпринять эти меры вовремя, поскольку обычно они вообще не подозревают о заражении инфостилером и не догадываются о том, что нужно срочно выйти из браузера и аннулировать токены аутентификации.