CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Malware care folosește un API Google pentru colectarea de token-uri

Sursa: unsplash.com

Google reduce rapoartele privind malware-ul care folosește un API Google Chrome nedocumentat cu scopul de a genera cookie-uri de autentificare noi atunci când expiră cele obținute anterior.

La sfârșitul lunii noiembrie 2023, BleepingComputer a raportat două operațiuni malware de furt de informații numite Lumma și Rhadamanthys, care pot restaura cookie-urile de autentificare Google expirate, colectate în timpul atacurilor.

Aceste cookie-uri puteau fi încărcate în browserele atacatorilor pentru a obține acces la conturile Google ale utilizatorilor infectați.

Diverși atacatori au adoptat aceeași tehnică, inclusiv Stealc pe 1 decembrie, Medusa pe 11 decembrie, RisePro pe 12 decembrie și Whitesnake pe 26 decembrie.

Se crede că acest API este conceput pentru sincronizarea conturilor între diferite servicii Google prin acceptarea unui vector de ID-uri de cont și token-uri de autentificare.

Aceste token-uri includ orice cookie-uri de autentificare pentru site-urile Google și un token special care poate fi folosit pentru a reîmprospăta sau a genera noi token-uri de autentificare.

Deoarece cookie-urile de autentificare obișnuite expiră după o anumită perioadă de timp, acestea devin în cele din urmă inutilizabile pentru atacator.

Cu toate acestea, atâta timp cât utilizatorul nu s-a deconectat de la contul Google sau nu a revocat toate sesiunile asociate conturilor sale, persoanele rău intenționate pot utiliza acest token special „Refresh” pentru a genera token-uri de autentificare complet noi atunci când cele anterioare au expirat.

Aceste noi token-uri le permit să continue să acceseze conturile pentru o perioadă mult mai lungă decât ar fi permis în mod normal.

Google actualizează în mod constant apărarea împotriva tehnicilor de colectare de cookie-uri și a programelor malware. De aceea, a luat măsuri pentru a securiza toate conturile compromise.

Soluția oferită de Google pentru această problemă este ca utilizatorii să se deconecteze din browserul Chrome de pe dispozitivul afectat sau să oprească toate sesiunile active prin intermediul g.co/mydevices. Procedând astfel, token-ul Refresh va fi invalidat și va deveni inutilizabil cu API.

De asemenea, utilizatorii vor trebui să își schimbe parolele Google, mai ales dacă folosesc aceleași credențiale și pe alte site-uri. Google recomandă activarea funcției Enhanced Safe Browsing pentru protejarea împotriva atacurilor de tip phishing și a descărcărilor de malware.

Atunci când utilizatorii sunt infectați cu malware care are ca scop colectarea de informații, de obicei nu află acest lucru, până când conturile lor sunt accesate fără permisiune. Mai mult, utilizatorii nu vor ști când ar trebui să se deconecteze din browser pentru a invalida token-urile de autentificare, dacă nu știu că au fost infectați.

Din acest motiv, o altă soluție bună ar fi restricționarea accesului la API într-un anumit mod pentru a preveni operațiunile de tip malware-as-a-service.

Sursa: https://www.bleepingcomputer.com/news/security/google-malware-abusing-api-is-standard-token-theft-not-an-api-issue/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |