Informationssammelnde Malware nutzt aktiv einen nicht dokumentierten Google OAuth-Endpunkt namens MultiLogin aus, um Benutzersitzungen zu übernehmen und dauerhaften Zugriff auf Google-Dienste zu ermöglichen, auch nachdem das Passwort zurückgesetzt wurde.
Laut CloudSEK ermöglicht der kritische Exploit die Aufrechterhaltung einer Sitzung und die Generierung von Cookies, was es Angreifern ermöglicht, in unbefugter Weise Zugriff auf eine gültige Sitzung zu haben.
Die Technik wurde erstmals am 20. Oktober 2023 von einem Bedrohungsakteur namens PRISMA auf ihrem Telegram-Kanal enthüllt. Sie wurde seitdem in verschiedene Malware-as-a-Service (MaaS) Stealer-Familien wie Lumma, Rhadamanthys, Stealc, Meduza, RisePro und WhiteSnake integriert.
Der MultiLogin-Authentifizierungs-Endpunkt ist hauptsächlich für die Synchronisierung von Google-Konten über Dienste hinweg gedacht, wenn Benutzer sich in ihrem Konto im Chrome Webbrowser anmelden (d.h. Profile).
Eine Reverse-Engineering-Analyse des Lumma Stealer-Codes hat ergeben, dass die Technik darauf abzielt, „die Tabelle ‚token_service‘ von WebData in Chrome zu extrahieren, um Tokens und Kontonummern der angemeldeten Chrome-Profile zu erhalten“, sagte der Sicherheitsforscher Pavan Karthick M. „Diese Tabelle enthält zwei wichtige Spalten: service (GAIA-ID) und encrypted_token“.
Dieses Token:GAIA-ID-Paar wird anschließend mit dem MultiLogin-Endpunkt kombiniert, um Google-Authentifizierungscookies neu zu generieren.
Karthick sagte The Hacker News, dass drei verschiedene Szenarien für die Generierung von Tokens und Cookies getestet wurden:
Wenn der Benutzer mit dem Browser angemeldet ist, kann das Token beliebig oft verwendet werden.
Wenn der Benutzer das Passwort ändert, jedoch in Google angemeldet bleibt, kann das Token nur einmal verwendet werden, da es bereits verwendet wurde, um die Anmeldung aufrechtzuerhalten.
Wenn der Benutzer sich vom Browser abmeldet, wird das Token widerrufen und aus dem lokalen Speicher des Browsers gelöscht, es wird jedoch beim erneuten Anmelden wieder generiert.
Google bestätigte die Existenz der Angriffsmethode, wies jedoch darauf hin, dass Benutzer die gestohlenen Sitzungen widerrufen können, indem sie sich vom betroffenen Browser abmelden.
Das Unternehmen empfahl außerdem den Benutzern, den verbesserten sicheren Browser in Chrome zu aktivieren, um sich vor Phishing und dem Herunterladen von Malware zu schützen.
Es wird empfohlen, Passwörter zu ändern, damit die Angreifer die Passwort-Reset-Authentifizierungsflüsse nicht nutzen können. Benutzer sollten auch ihre Kontobewegungen auf verdächtige Sitzungen überwachen, die von IPs und Standorten stammen, die sie nicht kennen.
Es wurde darauf hingewiesen, dass dieser Vorfall die Notwendigkeit fortschrittlicherer Sicherheitslösungen verdeutlicht, um sich gegen sich ständig weiterentwickelnde Cyberbedrohungen zu schützen.