Laut den Forschern von Cloudsek.com missbrauchen Hacker einen undokumentierten Google OAuth-Endpunkt namens „MultiLogin“. Die Experten beobachten gerade, dass andere Gruppen von Cyberangreifern die Technik kopieren und in ihre Infostealer einsetzen. Kommt nun eine größere Welle?
Mehrere Malware-Familien, die Informationen stehlen nutzen einen undokumentierten Google OAuth-Endpunkt namens „MultiLogin“ aus, um abgelaufene Authentifizierungscookies wiederherzustellen und sich bei Benutzerkonten anzumelden. Auch bei Konten, bei denen das Passwort des Kontos zurückgesetzt wurde.
Infostealer-Gruppen wollen Schwachstelle nutzen
Die Experten von Cloudsek.com berichten: Der Lumma Infostealer, der den entdeckten Exploit beinhaltet, wurde am 14. November implementiert. Anschließend übernahmen Rhadamanthys, Risepro, Meduza und Stealc Stealer diese Technik. Am 26. Dezember implementierte White Snake den Exploit ebenfalls. Derzeit arbeitet Eternity Stealer aktiv an einem Update, das auf einen besorgniserregenden Trend der schnellen Integration verschiedener Infostealer-Gruppen hinweist.
Das Threat-Intelligence-Unternehmen Hudson Rock hat eine Video auf YouTube veröffentlicht, in dem ein Cyberkrimineller demonstriert, wie der Cookie-Restore-Exploit funktioniert.
Veröffentlichung durch Entdecker
So wurde das Ganze entdeckt: Am 20. Oktober 2023 wurde CloudSEKs kontextbezogene KI-Plattform für digitale Risiken XVigil eingeführt entdeckte, dass ein Bedrohungsakteur namens „PRISMA“ haben auf ihrem Telegram-Kanal eine wichtige Ankündigung gemacht und eine wirksame 0-Day-Angriffslösung vorgestellt, die Herausforderungen bei eingehenden Sitzungen von Google-Konten angeht. Diese Angriffslösung verfügt über zwei Hauptmerkmale:
- Sitzungspersistenz: Die Sitzung bleibt auch dann gültig, wenn das Kontokennwort geändert wird, was einen einzigartigen Vorteil bei der Umgehung typischer Sicherheitsmaßnahmen bietet.
- Cookie-Generierung: Die Möglichkeit, im Falle einer Sitzungsunterbrechung gültige Cookies zu generieren, erhöht die Angriffsfläche des Angreifers. s Fähigkeit, unbefugten Zugriff aufrechtzuerhalten.
- Der Entwickler deutete eine mögliche Bereitschaft zur Zusammenarbeit oder zum Austausch von Erkenntnissen zu diesem neu entdeckten Exploit an.
Laut Bleepingcomputer hat die Gruppe Limma in einer späteren Veröffentlichung den Exploit aktualisiert, um den Abhilfemaßnahmen von Google entgegenzuwirken. Das deutet darauf hin, dass der Technologieriese über die aktiv ausgenutzte Zero-Day-Schwachstelle Bescheid weiß. Insbesondere nutzte Lumma SOCKS-Proxys, um Googles Maßnahmen zur Missbrauchserkennung zu umgehen, und implementierte eine verschlüsselte Kommunikation zwischen der Malware und dem MultiLogin-Endpunkt.
Google hat sich bis dato nicht zum Missbrauch des MultiLogin-Endpunkts geäußert. Daher bleiben der Status der Ausnutzung und die entsprechenden Gegenmaßnahmen derzeit unklar.
Mehr bei Cloudsek.com