Şifre Sıfırlamaya Rağmen Erişimi Sürdürmek için Google MultiLogin Exploit'i Kullanan Kötü Amaçlı Yazılım

CloudSEK'e göre, kritik istismar, oturum kalıcılığını ve çerez oluşturmayı kolaylaştırarak tehdit aktörlerinin yetkisiz bir şekilde geçerli bir oturuma erişimi sürdürmesini sağlıyor.

Teknik ilk olarak PRISMA adlı bir tehdit aktörü tarafından 20 Ekim 2023'te Telegram kanallarında ortaya çıkarıldı. O zamandan beri Lumma, Rhadamanthys, Stealc, Meduza, RisePro ve WhiteSnake gibi çeşitli hizmet olarak kötü amaçlı yazılım (MaaS) hırsız ailelerine dahil edildi.

MultiLogin kimlik doğrulama uç noktası, öncelikle, kullanıcılar Chrome web tarayıcısında (yani profillerde) hesaplarında oturum açtıklarında Google hesaplarını hizmetler arasında senkronize etmek için tasarlanmıştır.

Güvenlik araştırmacısı Pavan Karthick M, Lumma Stealer kodunun tersine mühendisliğinin, tekniğin "oturum açmış Chrome profillerinin belirteçlerini ve hesap kimliklerini çıkarmak için Chrome'un token_service WebData tablosunu" hedeflediğini ortaya çıkardığını söyledi. "Bu tablo iki önemli sütun içeriyor: hizmet (GAIA Kimliği) ve encrypted_token."

Bu belirteç:GAIA kimlik çifti daha sonra Google kimlik doğrulama çerezlerini yeniden oluşturmak için MultiLogin uç noktasıyla birleştirilir.

Karthick, üç farklı belirteç çerezi oluşturma senaryosunun test edildiğini söyledi.

  • Kullanıcı tarayıcıda oturum açtığında, bu durumda belirteç herhangi bir sayıda kullanılabilir.
  • Kullanıcı şifreyi değiştirip Google'ın oturumunun açık kalmasına izin verdiğinde, jeton kullanıcının oturumunun açık kalmasına izin vermek için zaten bir kez kullanıldığından, jeton yalnızca bir kez kullanılabilir.
  • Kullanıcı tarayıcının oturumunu kapatırsa, belirteç iptal edilir ve tarayıcının yerel depolama alanından silinir ve tekrar oturum açıldığında yeniden oluşturulur.

Yorum için ulaşıldığında Google, saldırı yönteminin varlığını kabul etti, ancak kullanıcıların etkilenen tarayıcıdan çıkış yaparak çalınan oturumları iptal edebileceklerini belirtti.

Şirket, "Google, oturum belirteçlerini çalan bir kötü amaçlı yazılım ailesinin son raporlarının farkındadır" dedi. "Çerezleri ve belirteçleri çalan kötü amaçlı yazılımları içeren saldırılar yeni değil; Bu tür tekniklere karşı savunmamızı düzenli olarak yükseltiyoruz ve kötü amaçlı yazılımların kurbanı olan kullanıcıları güvence altına alıyoruz. Bu örnekte Google, tespit edilen güvenliği ihlal edilmiş hesapların güvenliğini sağlamak için harekete geçmiştir."

"Ancak, çalınan jetonların ve çerezlerin kullanıcı tarafından iptal edilemeyeceğini öne süren raporlarda bir yanlış anlama olduğunu not etmek önemlidir" diye ekledi. "Çalınan oturumlar, etkilenen tarayıcıdan çıkış yapılarak geçersiz kılınabileceğinden veya kullanıcının cihazlar sayfası aracılığıyla uzaktan iptal edilebildiğinden, bu yanlıştır. Durumu izlemeye ve gerektiğinde güncellemeler sağlamaya devam edeceğiz."

Şirket ayrıca, kimlik avı ve kötü amaçlı yazılım indirmelerine karşı korunmak için kullanıcılara Chrome'da Gelişmiş Güvenli Tarama'yı açmalarını tavsiye etti.

Karthick, "Tehdit aktörlerinin parolaları geri yüklemek için parola sıfırlama kimlik doğrulama akışlarını kullanmaması için parolaların değiştirilmesi tavsiye edilir" dedi. "Ayrıca, kullanıcılara, tanımadıkları IP'lerden ve konumlardan gelen şüpheli oturumlar için hesap etkinliklerini izlemeleri tavsiye edilmelidir."

Hudson Rock'ın kurucu ortağı ve baş teknoloji sorumlusu Alon Gal, geçen yılın sonlarında istismarın ayrıntılarını daha önce açıklayan, "Google'ın açıklaması, kullanıcı güvenliğinin önemli bir yönüdür" dedi.

"Ancak olay, hesapların güvenliğini sağlamanın geleneksel yöntemlerine meydan okuyabilecek karmaşık bir istismara ışık tutuyor. Google'ın önlemleri değerli olsa da, bu durum, bugünlerde siber suçlular arasında son derece popüler olan bilgi hırsızları örneğinde olduğu gibi, gelişen siber tehditlere karşı koymak için daha gelişmiş güvenlik çözümlerine duyulan ihtiyacı vurguluyor."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği