Şifre Sıfırlamaya Rağmen Erişimi Sürdürmek için Google MultiLogin Exploit'i Kullanan Kötü Amaçlı Yazılım
Bilgi çalan kötü amaçlı yazılımlar, kullanıcı oturumlarını ele geçirmek ve şifre sıfırlama işleminden sonra bile Google hizmetlerine sürekli erişime izin vermek için MultiLogin adlı belgelenmemiş bir Google OAuth uç noktasından aktif olarak yararlanıyor.
CloudSEK'e göre, kritik istismar, oturum kalıcılığını ve çerez oluşturmayı kolaylaştırarak tehdit aktörlerinin yetkisiz bir şekilde geçerli bir oturuma erişimi sürdürmesini sağlıyor.
Teknik ilk olarak PRISMA adlı bir tehdit aktörü tarafından 20 Ekim 2023'te Telegram kanallarında ortaya çıkarıldı. O zamandan beri Lumma, Rhadamanthys, Stealc, Meduza, RisePro ve WhiteSnake gibi çeşitli hizmet olarak kötü amaçlı yazılım (MaaS) hırsız ailelerine dahil edildi.
MultiLogin kimlik doğrulama uç noktası, öncelikle, kullanıcılar Chrome web tarayıcısında (yani profillerde) hesaplarında oturum açtıklarında Google hesaplarını hizmetler arasında senkronize etmek için tasarlanmıştır.
Güvenlik araştırmacısı Pavan Karthick M, Lumma Stealer kodunun tersine mühendisliğinin, tekniğin "oturum açmış Chrome profillerinin belirteçlerini ve hesap kimliklerini çıkarmak için Chrome'un token_service WebData tablosunu" hedeflediğini ortaya çıkardığını söyledi. "Bu tablo iki önemli sütun içeriyor: hizmet (GAIA Kimliği) ve encrypted_token."
Bu belirteç:GAIA kimlik çifti daha sonra Google kimlik doğrulama çerezlerini yeniden oluşturmak için MultiLogin uç noktasıyla birleştirilir.
Karthick, üç farklı belirteç çerezi oluşturma senaryosunun test edildiğini söyledi.
- Kullanıcı tarayıcıda oturum açtığında, bu durumda belirteç herhangi bir sayıda kullanılabilir.
- Kullanıcı şifreyi değiştirip Google'ın oturumunun açık kalmasına izin verdiğinde, jeton kullanıcının oturumunun açık kalmasına izin vermek için zaten bir kez kullanıldığından, jeton yalnızca bir kez kullanılabilir.
- Kullanıcı tarayıcının oturumunu kapatırsa, belirteç iptal edilir ve tarayıcının yerel depolama alanından silinir ve tekrar oturum açıldığında yeniden oluşturulur.
Yorum için ulaşıldığında Google, saldırı yönteminin varlığını kabul etti, ancak kullanıcıların etkilenen tarayıcıdan çıkış yaparak çalınan oturumları iptal edebileceklerini belirtti.
Şirket, "Google, oturum belirteçlerini çalan bir kötü amaçlı yazılım ailesinin son raporlarının farkındadır" dedi. "Çerezleri ve belirteçleri çalan kötü amaçlı yazılımları içeren saldırılar yeni değil; Bu tür tekniklere karşı savunmamızı düzenli olarak yükseltiyoruz ve kötü amaçlı yazılımların kurbanı olan kullanıcıları güvence altına alıyoruz. Bu örnekte Google, tespit edilen güvenliği ihlal edilmiş hesapların güvenliğini sağlamak için harekete geçmiştir."
"Ancak, çalınan jetonların ve çerezlerin kullanıcı tarafından iptal edilemeyeceğini öne süren raporlarda bir yanlış anlama olduğunu not etmek önemlidir" diye ekledi. "Çalınan oturumlar, etkilenen tarayıcıdan çıkış yapılarak geçersiz kılınabileceğinden veya kullanıcının cihazlar sayfası aracılığıyla uzaktan iptal edilebildiğinden, bu yanlıştır. Durumu izlemeye ve gerektiğinde güncellemeler sağlamaya devam edeceğiz."
Şirket ayrıca, kimlik avı ve kötü amaçlı yazılım indirmelerine karşı korunmak için kullanıcılara Chrome'da Gelişmiş Güvenli Tarama'yı açmalarını tavsiye etti.
Karthick, "Tehdit aktörlerinin parolaları geri yüklemek için parola sıfırlama kimlik doğrulama akışlarını kullanmaması için parolaların değiştirilmesi tavsiye edilir" dedi. "Ayrıca, kullanıcılara, tanımadıkları IP'lerden ve konumlardan gelen şüpheli oturumlar için hesap etkinliklerini izlemeleri tavsiye edilmelidir."
Hudson Rock'ın kurucu ortağı ve baş teknoloji sorumlusu Alon Gal, geçen yılın sonlarında istismarın ayrıntılarını daha önce açıklayan, "Google'ın açıklaması, kullanıcı güvenliğinin önemli bir yönüdür" dedi.
"Ancak olay, hesapların güvenliğini sağlamanın geleneksel yöntemlerine meydan okuyabilecek karmaşık bir istismara ışık tutuyor. Google'ın önlemleri değerli olsa da, bu durum, bugünlerde siber suçlular arasında son derece popüler olan bilgi hırsızları örneğinde olduğu gibi, gelişen siber tehditlere karşı koymak için daha gelişmiş güvenlik çözümlerine duyulan ihtiyacı vurguluyor."
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi