CloudSEK的威脅研究團隊最近發現,Telegram頻道上有人披露了關於Google帳戶的一個漏洞,該漏洞允許惡意軟體恢復已過期的身份驗證Cookie,並將之用於登入受害者的 Google帳戶。
在網路上使用的各種瀏覽器Cookie中,會話Cookie尤為特殊,其中包含身份驗證資訊。像使用者開啟瀏覽器時能夠直接訪問以前登入過的網站,就是使用會話Cookie完成的。出於安全方面的考慮,通常這類Cookie被設計為只具有短暫的生命週期,以防止被不當利用。
該漏洞利用技術最初是於2023年10月20日由一個名為PRISMA的駭客在其Telegram頻道上披露。此後,該項技術迅速被整合到各種惡意軟體即服務(MaaS)資訊竊取家族中,如Lumma、Rhadamanthys、Stealc、Meduza、RisePro和WhiteSnake。
2023年11 月,Lumma和Rhadamanthys資訊竊取惡意軟體的網路犯罪分子聲稱,他們能夠恢復在網路攻擊中竊取的已過期的Google身份驗證Cookie,有了這些Cookie,他們能夠在使用者登出、重置密碼或其會話已過期後未經授權地訪問其Google 帳戶。
網路安全公司CloudSEK在一份研究報告中具體說明了駭客是如何利用該新0day的。CloudSEK對這個漏洞進行了反向工程,發現它使用了一個名為MultiLogin的未記錄的 Google OAuth端點(用於在多個不同的Google服務之間同步帳戶)。
透過濫用這個端點,資訊竊取惡意軟體能夠從已登入到Google帳戶的Chrome配置檔案中提取令牌和帳戶 ID。在這些竊取的資訊中,有兩個關鍵的資料:GAIA ID和加密令牌。這些加密令牌使用儲存在Chrome的“本地狀態”檔案中的加密金鑰進行解密。透過使用竊取的令牌和Google的MultiLogin端點,駭客可以重新生成已過期的Google服務Cookie,並持續訪問被攻陷的帳戶。
對於此事,谷歌官方回應道:“Google已知悉最近有惡意軟體家族竊取會話令牌的報告。涉及惡意軟體竊取Cookie和令牌的攻擊並不新鮮;我們經常升級我們的防禦措施來抵禦這類技術,以保護成為惡意軟體受害者的使用者。在這種情況下,Google已經採取行動來保護任何被發現受到影響的帳戶。”
“然而,重要的是要注意報告中存在的一個誤解——被盜的令牌和cookie不能被使用者撤銷。這是不正確的,因為被盜的會話可以透過簡單地登出受影響的瀏覽器,或者透過使用者裝置頁面遠端撤銷。我們將繼續監控情況,並根據需要提供更新。”
谷歌另外還建議使用者在Chrome中啟用增強安全瀏覽,以防範網路釣魚和惡意軟體下載。
編輯:左右裡
資訊來源:CloudSEK、Cybernews
轉載請註明出處和本文連結