Новый способ взлома аккаунтов Google, основанный на использовании протокола авторизации OAuth 2.0, был выявлен исследователями компании CloudSEK. Этот метод, названный «MultiLogin», позволяет злоумышленникам поддерживать действительные сессии с удаленным устройством, даже после смены IP-адреса или пароля.
«MultiLogin»
Атака осуществляется через недокументированную точку доступа Google OAuth, которая называется «MultiLogin». Этот механизм предназначен для синхронизации аккаунтов Google через различные сервисы, обеспечивая соответствие аккаунтов в браузере с куки-файлами аутентификации Google.
Lumma Infostealer
Один из разработчиков эксплоита (программы) «MultiLogin» выразил готовность к сотрудничеству, что помогло исследователям обнаружить точку доступа, отвечающую за регенерацию куки-файлов. Эксплоит был интегрирован в вредоносную программу Lumma Infostealer, которая была выпущена 14 ноября. Основные особенности Lumma включают в себя постоянство сессии и генерацию куки-файлов. Она нацелена на извлечение секретов, токенов и идентификаторов аккаунтов, атакуя таблицу token_service в WebData залогиненных профилей Chrome.
Смена пароля не поможет
Эксплоит позволяет сохранять действительную сессию, даже после изменения пароля аккаунта, что является уникальным преимуществом в обходе типичных мер безопасности. Эта техника требует высокого уровня понимания внутренних механизмов аутентификации Google. Манипулируя парой «токен: GAIA ID», Lumma может постоянно регенерировать куки-файлы для сервисов Google. Особенно тревожно, что этот эксплоит остается эффективным даже после сброса паролей пользователей, что позволяет злоумышленникам продолжительно и незаметно эксплуатировать пользовательские аккаунты и данные.
Исследователи отмечают тревожную тенденцию быстрой интеграции эксплоитов среди различных киберпреступных групп. Эксплуатация недокументированной точки доступа Google OAuth2 MultiLogin является примером сложности, так как она основана на тонкой манипуляции токеном GAIA ID. Вредоносное ПО также скрывает механизм эксплоита с помощью шифрования.
Источник:
© Русская Семерка
