Malware abusa do ponto de acesso OAuth do Google para 'reviver' cookies e sequestrar contas
2 de Janeiro de 2024

Vários tipos de malware de roubo de informação estão abusando de um endpoint não documentado do Google OAuth chamado "MultiLogin" para restaurar cookies de autenticação expirados e fazer login nas contas dos usuários, mesmo se a senha da conta foi redefinida.

Os cookies de sessão são um tipo especial de cookie de navegador que contêm informações de autenticação, permitindo que uma pessoa faça login automaticamente em sites e serviços sem inserir suas credenciais.

Esses tipos de cookies são destinados a ter uma vida útil limitada, portanto, não podem ser usados indefinidamente por atores maliciosos para fazer login nas contas se forem roubados.

No final de novembro de 2023, o BleepingComputer relatou dois roubadores de informações, a saber, Lumma e Rhadamanthys, que afirmaram que poderiam restaurar os cookies de autenticação do Google expirados roubados em ataques.

Esses cookies permitiriam aos criminosos cibernéticos obter acesso não autorizado às contas do Google mesmo depois que os proprietários legítimos fizeram logout, redefiniram suas senhas ou sua sessão expirou.

O BleepingComputer entrou em contato com o Google várias vezes em um mês com perguntas sobre essas alegações e como eles planejam mitigar o problema, mas nunca recebemos uma resposta.

Um relatório publicado hoje pelos pesquisadores da CloudSEK lança mais luz sobre como este exploit de zero-day funciona e pinta um cenário alarmante em relação à escala de sua exploração.

O exploit foi revelado pela primeira vez por um ator de ameaças chamado PRISMA em 20 de outubro de 2023, que postou no Telegram que havia descoberto uma maneira de restaurar os cookies de autenticação do Google expirados.

Após engenharia reversa do exploit, a CloudSEK descobriu que ele usa um endpoint do Google OAuth não documentado chamado "MultiLogin", que é destinado a sincronizar contas entre diferentes serviços do Google, aceitando um vetor de IDs de conta e tokens de login de autenticação.

"Esta solicitação é usada para definir contas do chrome no navegador nos cookies de autenticação do Google para vários sites do google (por exemplo, youtube)", explica uma descrição do endpoint de API no código-fonte do Google Chrome.

"Esta solicitação é parte da Gaia Auth API e é acionada sempre que as contas nos cookies não estão consistentes com as contas no navegador", explica uma variável no código fonte.

A CloudSEK afirma que o malware de roubo de informações que abusa desse endpoint extrai tokens e IDs de conta de perfis do Chrome logados em uma conta do Google.

Essa informação roubada contém duas partes essenciais de dados: serviço (ID GAIA) e token criptografado.

Os tokens criptografados são descriptografados usando uma criptografia armazenada no arquivo 'Local State' do Chrome.

A mesma chave de criptografia também é usada para descriptografar senhas salvas no navegador.

Usando os pares roubados token:GAIA com o endpoint MultiLogin, os atores de ameaças podem regenerar cookies do Google Service expirados e manter acesso persistente nas contas comprometidas.

Em uma discussão com o pesquisador da CloudSek, Pavan Karthick, o BleepingComputer foi informado que eles fizeram engenharia reversa do exploit e foram capazes de usá-lo para regenerar cookies de autenticação do Google expirados, conforme mostrado abaixo.

No entanto, Karthick explicou que o cookie de autenticação só pode ser regenerado uma vez caso o usuário redefina a senha do Google.

Caso contrário, ele pode ser regenerado várias vezes, proporcionando acesso persistente à conta.

O Lumma stealer foi o primeiro a adotar o exploit em 14 de novembro, cujos desenvolvedores aplicaram técnicas de blackboxing como a criptografia do par token:GAIA com chaves privadas para esconder o mecanismo dos concorrentes e prevenir a replicação da função.

Ainda assim, outros conseguiram copiar a função ou incorporar o exploit do PRISMA em seus roubadores, com o Rhadamanthys sendo o primeiro a seguir em 17 de novembro.

Desde então, várias outras infostealers adotaram o exploit, incluindo Stealc em 1º de dezembro, Medusa em 11 de dezembro, RisePro em 12 de dezembro e Whitesnake em 26 de dezembro.

Portanto, pelo menos seis infostealers afirmam atualmente ter a capacidade de regenerar cookies do Google usando este ponto final da API.

A empresa de inteligência de ameaças Hudson Rock também publicou o seguinte vídeo no YouTube, onde um criminoso cibernético demonstra como funciona o exploit de restauração de cookies.

Uma subsequente versão do Lumma atualizou o exploit para contrabalançar as medidas de mitigação do Google, sugerindo que a gigante da tecnologia sabe sobre a vulnerabilidade zero-day ativamente explorada.

Especificamente, o Lumma começou a usar proxies SOCKS para evitar as medidas de detecção de abuso do Google e implementou comunicação criptografada entre o malware e o endpoint MultiLogin.

No entanto, como o Google não confirmou o abuso do endpoint MultiLogin, o status da exploração e seus esforços de mitigação permanecem incertos no momento.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...