Hacker finden Wege in Google-Konten

B2B Cyber Security ShortNews

Beitrag teilen

Laut den Forschern von Cloudsek.com missbrauchen Hacker einen undokumentierten Google OAuth-Endpunkt namens „MultiLogin“. Die Experten beobachten gerade, dass andere Gruppen von Cyberangreifern die Technik kopieren und in ihre Infostealer einsetzen. Kommt nun eine größere Welle?

Mehrere Malware-Familien, die Informationen stehlen nutzen einen undokumentierten Google OAuth-Endpunkt namens „MultiLogin“ aus, um abgelaufene Authentifizierungscookies wiederherzustellen und sich bei Benutzerkonten anzumelden. Auch bei Konten, bei denen das Passwort des Kontos zurückgesetzt wurde.

Anzeige

Infostealer-Gruppen wollen Schwachstelle nutzen

Die Experten von Cloudsek.com berichten: Der Lumma Infostealer, der den entdeckten Exploit beinhaltet, wurde am 14. November implementiert. Anschließend übernahmen Rhadamanthys, Risepro, Meduza und Stealc Stealer diese Technik. Am 26. Dezember implementierte White Snake den Exploit ebenfalls. Derzeit arbeitet Eternity Stealer aktiv an einem Update, das auf einen besorgniserregenden Trend der schnellen Integration verschiedener Infostealer-Gruppen hinweist.

Das Threat-Intelligence-Unternehmen Hudson Rock hat eine Video auf YouTube veröffentlicht, in dem ein Cyberkrimineller demonstriert, wie der Cookie-Restore-Exploit funktioniert.

Veröffentlichung durch Entdecker

So wurde das Ganze entdeckt: Am 20. Oktober 2023 wurde CloudSEKs kontextbezogene KI-Plattform für digitale Risiken XVigil eingeführt entdeckte, dass ein Bedrohungsakteur namens „PRISMA“ haben auf ihrem Telegram-Kanal eine wichtige Ankündigung gemacht und eine wirksame 0-Day-Angriffslösung vorgestellt, die Herausforderungen bei eingehenden Sitzungen von Google-Konten angeht. Diese Angriffslösung verfügt über zwei Hauptmerkmale:

  • Sitzungspersistenz: Die Sitzung bleibt auch dann gültig, wenn das Kontokennwort geändert wird, was einen einzigartigen Vorteil bei der Umgehung typischer Sicherheitsmaßnahmen bietet.
  • ‍Cookie-Generierung: Die Möglichkeit, im Falle einer Sitzungsunterbrechung gültige Cookies zu generieren, erhöht die Angriffsfläche des Angreifers. s Fähigkeit, unbefugten Zugriff aufrechtzuerhalten.
  • Der Entwickler deutete eine mögliche Bereitschaft zur Zusammenarbeit oder zum Austausch von Erkenntnissen zu diesem neu entdeckten Exploit an.

Laut Bleepingcomputer hat die Gruppe Limma in einer späteren Veröffentlichung den Exploit aktualisiert, um den Abhilfemaßnahmen von Google entgegenzuwirken. Das deutet darauf hin, dass der Technologieriese über die aktiv ausgenutzte Zero-Day-Schwachstelle Bescheid weiß. Insbesondere nutzte Lumma SOCKS-Proxys, um Googles Maßnahmen zur Missbrauchserkennung zu umgehen, und implementierte eine verschlüsselte Kommunikation zwischen der Malware und dem MultiLogin-Endpunkt.

Google hat sich bis dato nicht zum Missbrauch des MultiLogin-Endpunkts geäußert. Daher bleiben der Status der Ausnutzung und die entsprechenden Gegenmaßnahmen derzeit unklar.

Mehr bei Cloudsek.com

 

Passende Artikel zum Thema

Brillen.de meldet Datenleck mit Kundendaten

Der Anbieter Brillen.de musste seinen Kunden ein Datenleck mitteilen. So soll für eine kurze Zeit ein externer Zugriff auf Kundendaten ➡ Weiterlesen

Schwachstellen in IoT-Cloud-Plattform OvrC

Sicherheitsforscher haben insgesamt zehn Schwachstellen in der OvrC-Cloudplattform entdeckt. Dadurch war es Angreifern möglich, auf Geräte wie Kameras, Router oder ➡ Weiterlesen

Cyberangriffe auf Rekordkurs – kommt KI zu Hilfe?

Die Bedrohungslage im Bereich Cybersicherheit ist hierzulande weiterhin angespannt: Laut einer Bitkom-Umfrage aus dem Sommer waren im Erhebungszeitraum 81 Prozent ➡ Weiterlesen

eCommerce-Marktplatz im Darknet mit Black Friday 

Es ist eine Parallelwelt: Kunden bewerten in Shops im Darknet die Qualität des beworbenen Falschgelds, Handfeuerwaffe bis hin zur Panzerfaust ➡ Weiterlesen

Russische Malware-Kampagne

Im September 2024 entdeckte die Google Threat Analysis Group (TAG) und Mandiant „UNC5812“, eine mutmaßliche hybride russische Spionage- und Beeinflussungskampagne. ➡ Weiterlesen

Cyberattacken auf Gesundheitseinrichtungen nehmen zu

Eine US-amerikanische Studie zur Cybersicherheit im Gesundheitswesen hat ergeben, dass das Patientenwohl immer häufiger durch Cyberangriffe gefährdet ist. Neun von ➡ Weiterlesen

PipeMagic-Backdoor versteckt sich in ChatGPT-Anwendung

Der Trojaner PipeMagic-Backdoor kommt über eine gefälschte ChatGPT-Anwendung ins Unternehmensnetzwerk. Mit ihm können die Hacker sowohl vertrauliche Daten extrahieren als ➡ Weiterlesen

Perfctl: Linux-Malware greift seit Jahren Millionen Server an

Seit 2021 befällt die ausgeklügelte Linux-Malware „Perfctl“ massenweise Linux-Server mit falschen Konfigurationen und nutzt diese als Proxy-Server für Kryptomining. Wegen ➡ Weiterlesen