Selon les chercheurs de Cloudsek.com, les pirates informatiques abusent d'un point de terminaison Google OAuth non documenté appelé « MultiLogin ». Les experts constatent actuellement que d'autres groupes de cyberattaquants copient la technologie et l'utilisent dans leurs infostealers. Une plus grande vague arrive-t-elle maintenant ?
Plusieurs familles de logiciels malveillants voleurs d'informations exploitent un point de terminaison Google OAuth non documenté appelé « MultiLogin » pour récupérer les cookies d'authentification expirés et se connecter aux comptes d'utilisateurs. Même pour les comptes dont le mot de passe a été réinitialisé.
Les groupes d'infostealers veulent exploiter les vulnérabilités
Les experts de Cloudsek.com rapportent : Le Lumma Infostealer, qui contient l'exploit découvert, a été implémenté le 14 novembre. Par la suite, Rhadamanthys, Risepro, Meduza et Stealc Stealer ont adopté cette technique. Le 26 décembre, White Snake a également implémenté l'exploit. Actuellement, Eternity Stealer travaille activement sur une mise à jour qui met en évidence une tendance inquiétante d'intégration rapide de divers groupes d'infostealers.
La société de renseignement sur les menaces Hudson Rock a publié une vidéo sur YouTube dans laquelle un cybercriminel montre comment fonctionne l'exploit de restauration des cookies.
Publié par Explorateurs
Voici comment tout cela a été découvert : le 20 octobre 2023, XVigil, la plateforme de risque numérique d'IA contextuelle de CloudSEK, a découvert qu'un acteur malveillant nommé « PRISMA » avait fait une annonce majeure sur sa chaîne Telegram et présenté une solution d'attaque efficace de 0 jour, qui résout les problèmes liés aux sessions entrantes à partir de comptes Google. Cette solution d’attaque présente deux caractéristiques principales :
- Persistance de la session : la session reste valide même si le mot de passe du compte est modifié, offrant un avantage unique en contournant les mesures de sécurité typiques.
- Génération de cookies : La possibilité de générer des cookies valides en cas d'interruption de session augmente la surface d'attaque de l'attaquant. s capacité à maintenir un accès non autorisé.
- Le développeur a fait allusion à une éventuelle volonté de collaborer ou de partager des informations sur cet exploit récemment découvert.
Laut Ordinateur bip Dans une publication ultérieure, le groupe Limma a mis à jour l'exploit pour contrecarrer les mesures correctives de Google. Cela suggère que le géant de la technologie est conscient de la vulnérabilité Zero Day activement exploitée. Plus précisément, Lumma a utilisé des proxys SOCKS pour contourner les mesures de détection des abus de Google et a mis en œuvre une communication cryptée entre le logiciel malveillant et le point de terminaison MultiLogin.
À ce jour, Google n'a pas commenté l'utilisation abusive du point de terminaison MultiLogin. Par conséquent, le statut de l’exploitation et les contre-mesures correspondantes restent flous pour le moment.
Plus sur Cloudsek.com