Несколько семейств вредоносных программ, занимающихся кражей информации, используют недокументированную конечную точку Google OAuth под названием "MultiLogin" для восстановления файлов cookie с истекшим сроком действия и входа в учетные записи пользователей, даже если пароль учетной записи был сброшен.
Сеансовые файлы cookie - это особый тип файлов cookie браузера, которые содержат информацию об аутентификации, позволяя человеку автоматически входить на веб-сайты и сервисы без ввода своих учетных данных.
Срок действия таких файлов ограничен, поэтому они не могут бесконечно использоваться злоумышленниками для входа в учетные записи в случае их кражи.
В конце ноября 2023 года genshin сообщил о двух похитителях информации, а именно Lumma и Rhadamanthys, которые утверждали, что могут восстановить просроченные файлы cookie аутентификации Google украденные в ходе атак.
Эти куки позволяли злоумышленникам получать несанкционированный доступ к аккаунтам Google даже после того, как их законные владельцы вышли из системы, сбросили пароль или истек срок сессии.
В течение месяца genshin несколько раз обращался в Google с вопросами об этих заявлениях и о том, как они планируют устранить проблему, но ответа так и не получил.
Эксплуатация конечной точки Google OAuth
Отчет, опубликованный сегодня исследователями CloudSEK, проливает больше света на то, как работает этот эксплойт нулевого дня, и рисует ужасающую картину масштабов его эксплуатации.
Впервые эксплойт был обнаружен 20 октября 2023 года агентом угроз под ником PRISMA, который опубликовал в Telegram сообщение о том, что обнаружил способ восстановления просроченных файлов аутентификации Google.
После реверс-инжиниринга эксплойта CloudSEK обнаружил, что он использует недокументированную конечную точку Google OAuth под названием "MultiLogin", которая предназначена для синхронизации учетных записей в различных сервисах Google путем приема вектора идентификаторов учетных записей и токенов аутентификационного входа.
"Этот запрос используется для установки учетных записей chrome в браузере в cookies аутентификации Google для нескольких сайтов google (например, youtube)", - поясняет a описание конечной точки API в исходном коде Google Chrome.
"Этот запрос является частью Gaia Auth API и срабатывает всякий раз, когда учетные записи в cookies не совпадают с учетными записями в браузере", - поясняет переменная в исходном коде.
CloudSEK утверждает, что вредоносное ПО, похищающее информацию с этой конечной точки, извлекает токены и идентификаторы учетных записей профилей Chrome, вошедших в аккаунт Google. Эта украденная информация содержит два важных фрагмента данных: сервис (GAIA ID) и encrypted_token.
Зашифрованные токены расшифровываются с помощью шифра, хранящегося в файле "Локальное состояние" Chrome. Этот же ключ шифрования используется для расшифровки сохраненных в браузере паролей.
Используя украденные пары token:GAIA с конечной точкой MultiLogin, угрожающие лица могут регенерировать просроченные файлы cookie сервиса Google и сохранять постоянный доступ к взломанным аккаунтам.
В беседе с исследователем CloudSek Паваном Картиком (Pavan Karthick) genshin сообщил, что они переработали эксплойт и смогли использовать его для регенерации просроченных файлов cookie аутентификации Google, как показано ниже.
Однако Картик объяснил, что куки аутентификации могут быть восстановлены только один раз, если пользователь сбрасывает свой пароль Google. В противном случае он может быть регенерирован несколько раз, обеспечивая постоянный доступ к аккаунту.
Чтобы защитить свой аккаунт от этой атаки, Картик советует сначала выйти из аккаунта Google, сменить пароль, а затем снова войти в аккаунт.
"Это обеспечит отзыв ключа и сохранность пароля". написал Картик в своем твиттере.
Разработчики вредоносного ПО спешат добавить эксплойт
Впервые эксплойт для кражи Lumma появился 14 ноября. Разработчики применили технику blackboxing, например, зашифровали пару token:GAIA с помощью закрытых ключей, чтобы скрыть механизм от конкурентов и предотвратить тиражирование функции.
Тем не менее, другим удалось скопировать функцию или включить эксплойт PRISMA в свои крадущие устройства, и первым 17 ноября это сделал Rhadamanthys.
С тех пор эксплойт использовали и другие похитители информации, в том числе Stealc 1 декабря, Medusa 11 декабря, RisePro 12 декабря и Whitesnake 26 декабря.
Таким образом, в настоящее время как минимум шесть похитителей информации заявляют о возможности регенерации куки-файлов Google с помощью этой конечной точки API.
Компания Hudson Rock, занимающаяся анализом угроз, также опубликовала на YouTube следующее видео, в котором киберпреступник демонстрирует, как работает эксплойт для восстановления cookie.
В последующем релизе Lumma обновила эксплойт, чтобы противостоять мерам Google, что говорит о том, что технологический гигант знает об активно эксплуатируемом дефекте нулевого дня.
В частности, Lumma прибегла к использованию SOCKS-прокси для обхода мер Google по обнаружению злоупотреблений и внедрила зашифрованную связь между вредоносным ПО и конечной точкой MultiLogin.
Однако, поскольку Google не подтвердила факт злоупотребления конечной точкой MultiLogin, статус эксплуатации и меры по ее снижению на данный момент остаются неясными.
Обновление 1/3 - Представитель Google прислал genshin следующее заявление по этому поводу:
