O malware Lumma supostamente pode restaurar cookies de autenticação do Google expirados
22 de Novembro de 2023

O malware de roubo de informações Lumma (também conhecido como 'LummaC2') está divulgando um novo recurso que supostamente permite que os cibercriminosos restaurem cookies do Google expirados, que podem ser usados para sequestrar contas do Google.

Cookies de sessão são cookies da web específicos usados para permitir que uma sessão de navegação faça login automaticamente nos serviços de um site.

Como esses cookies permitem que qualquer pessoa que os possua faça login na conta do proprietário, eles normalmente têm uma vida útil limitada por motivos de segurança para prevenir o uso indevido se forem roubados.

Restaurar esses cookies permitiria que os operadores da Lumma obtivessem acesso não autorizado a qualquer conta do Google, mesmo depois que o proprietário legítimo saiu de sua conta ou a sessão dele expirou.

Alon Gal, da Hudson Rock, foi quem primeiro identificou uma postagem no fórum pelos desenvolvedores do ladrão de informações destacando uma atualização lançada em 14 de novembro, alegando a "capacidade de restaurar cookies mortos usando uma chave de arquivos de restauração (aplica-se apenas a cookies do Google).”

Este novo recurso só foi disponibilizado para os assinantes do plano “Corporativo” de nível mais alto, que custa aos cibercriminosos US$ 1.000 por mês.

A postagem no fórum também esclarece que cada chave pode ser usada duas vezes para que a restauração do cookie só possa funcionar uma vez.

Isso ainda seria suficiente para lançar ataques catastróficos em organizações que, de outra forma, seguiriam boas práticas de segurança.

Este novo recurso supostamente introduzido em lançamentos recentes da Lumma ainda não foi verificado por pesquisadores de segurança ou pelo Google, então ainda não se sabe se ele funciona conforme anunciado.

No entanto, vale a pena mencionar que outro stealer, Rhadamanthys, anunciou uma capacidade similar em uma atualização recente, aumentando a probabilidade de que os autores de malware descobriram uma brecha de segurança explorável.

O BleepingComputer entrou em contato com o Google várias vezes solicitando um comentário sobre a possibilidade de os autores de malwares terem descoberto uma vulnerabilidade em cookies de sessão, mas ainda não recebemos uma resposta.

Alguns dias depois de contatar o Google, os desenvolvedores da Lumma lançaram uma atualização que alega ser uma correção adicional para contornar as novas restrições impostas pelo Google para prevenir a restauração de cookies.

O BleepingComputer também tentou obter mais informações sobre como o recurso funciona e que falha ele explora diretamente da Lumma.

No entanto, um "agente de suporte" da operação de malware recusou-se a compartilhar qualquer coisa sobre isso.

Quando questionado sobre o recurso semelhante recentemente adicionado por Rhadamantis, o agente da Lumma nos disse que seus concorrentes haviam copiado descuidadamente o recurso de seu stealer.

Se os ladrões de informação realmente puderem restaurar os cookies do Google expirados como promovido, não há nada que os usuários possam fazer para proteger suas contas até que o Google disponibilize uma correção, além de prevenir a infecção por malware que leva ao roubo desses cookies.

As precauções incluem evitar downloads de arquivos torrent e executáveis de sites duvidosos e ignorar resultados promovidos nas buscas do Google.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...