Google: Malware que abusa da API é roubo padrão de token, não um problema na API
8 de Janeiro de 2024

O Google está minimizando relatórios de malware abusando de uma API não documentada do Google Chrome para gerar novos cookies de autenticação quando os roubados anteriormente expiraram.

No final de novembro de 2023, o BleepingComputer relatou duas operações de malware que roubam informações, chamadas Lumma e Rhadamanthys, alegando que eles poderiam restaurar cookies de autenticação do Google expirados que foram roubados em ataques.

Esses cookies poderiam então ser carregados nos navegadores dos atores da ameaça para obter acesso às contas do Google do usuário infectado.

Desde então, quatro outros roubadores de informações adotaram a mesma técnica, incluindo Stealc em 1º de dezembro, Medusa em 11 de dezembro, RisePro em 12 de dezembro e Whitesnake em 26 de dezembro.

Na semana passada, a empresa de segurança cibernética CloudSEK revelou que essas operações de malware que roubam informações estão abusando de um endpoint da API "MultiLogin" do Google OAuth para gerar novos cookies de autenticação válidos quando os cookies do Google do usuário original roubado expiram.

Acredita-se que essa API foi projetada para sincronizar contas em diferentes serviços do Google ao aceitar um vetor de IDs de conta e tokens de autenticação.

As tentativas do BleepingComputer de aprender mais sobre esta API com o Google não foram bem-sucedidas, e a única documentação pode ser encontrada no código-fonte do Google Chrome.

O pesquisador da CloudSEK, Pavan Karthick, disse ao BleepingComputer que o malware que rouba informações e abusa dessa função agora roubará vários tokens do Google Chrome.

Esses tokens incluem quaisquer cookies de autenticação para sites do Google e um token especial que pode ser usado para atualizar, ou gerar, novos tokens de autenticação.

Como os cookies de autenticação regulares expiram após um determinado período de tempo, eles eventualmente se tornam inutilizáveis para o ator da ameaça.

No entanto, desde que o usuário não tenha se desconectado do Google Chrome ou revogado todas as sessões associadas às suas contas, os atores da ameaça podem usar esse token "Refresh" especial para gerar novos tokens de autenticação quando os anteriores expirarem.

Esses novos tokens permitem que eles continuem acessando as contas por muito mais tempo do que o normalmente permitido.

Infelizmente, o Google vê esse abuso da API como apenas o seu roubo regular de cookies baseado em malware.

"O Google está ciente de relatórios recentes de uma família de malware roubando tokens de sessão", disse o Google ao BleepingComputer em um comunicado na semana passada.

"Os ataques envolvendo malware que roubam cookies e tokens não são novos; nós rotineiramente melhoramos nossas defesas contra tais técnicas e para proteger os usuários que caem vítimas de malware.

Nesta instância, o Google tomou medidas para proteger todas as contas comprometidas detectadas."

No entanto, fontes familiarizadas com esse problema disseram ao BleepingComputer que o Google acredita que a API está funcionando conforme o planejado e que nenhuma vulnerabilidade está sendo explorada pelo malware.

A solução do Google para este problema é simplesmente ter os usuários deslogados de seus navegadores Chrome do dispositivo afetado ou encerrar todas as sessões ativas através de g.co/mydevices.

Ao fazer isso, o token Refresh será invalidado e se tornará inutilizável com a API.

Como o malware roubador de informações roubou suas credenciais, você também deve mudar sua senha do Google por precaução, especialmente se usar as mesmas credenciais em outros sites.

"Enquanto isso, os usuários devem continuamente tomar medidas para remover qualquer malware de seus computadores, e recomendamos ativar a Navegação Segura Aprimorada no Chrome para proteger contra phishing e downloads de malware", o Google recomenda ainda mais.

Embora essas etapas recomendadas possam reduzir o impacto das infecções por malware que roubam informações, a maioria das pessoas infectadas com esse tipo de malware não saberá quando fazer essas etapas.

Quando as pessoas são infectadas com malware que rouba informações, normalmente não sabem até que suas contas sejam acessadas sem permissão e abusadas de alguma maneira detectável.

Por exemplo, um funcionário da Orange España, a segunda maior provedora de telefonia móvel do país, teve suas senhas roubadas por malware que roubava informações.

No entanto, ninguém sabia até que as credenciais roubadas foram usadas para fazer login na conta RIPE da empresa e modificar sua configuração de BGP, causando uma queda de 50% no desempenho e cortes na internet para clientes da Orange.

Embora o Google diga que detectou aqueles que foram afetados por esse abuso da API e os notificou, o que acontece com as futuras vítimas?

Além disso, como os usuários saberão que devem sair de seus navegadores para invalidar os tokens de autenticação quando nem mesmo sabem que foram infectados em primeiro lugar.

Por esse motivo, uma solução melhor seria restringir o acesso a essa API de alguma maneira para prevenir o abuso pelas operações de malware como serviço.

Infelizmente, não parece que isso está acontecendo.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...