Nuevo malware permanece conectado a cuentas de Google robadas después de restablecer la contraseña
Si utiliza los servicios de Google, el gigante de las búsquedas tiene sus zarcillos en muchas partes de su vida digital. Para ayudarlo a mantenerse conectado, Google sincroniza sus datos entre los servicios. Los investigadores de seguridad informan que esta característica ha sido adoptada por actores de amenazas, quienes han ideado un método para permanecer conectado a una cuenta de Google robada incluso si se cambia la contraseña.
El servicio de sincronización de Google se basa en un punto final OAuth no documentado, conocido como MultiLogin. En octubre del año pasado, un hacker conocido como PRISMA demostró este método en Telegram. Desde entonces, se ha descubierto en varios clientes de malware como servicio ladrones de datos, incluidos Lumma, RisePro y WhiteSnake.
Cuando inicia sesión en Chrome, el navegador almacena un token que lo mantiene conectado. Robar tokens de inicio de sesión es un objetivo común del malware, ya que permite al atacante acceder a su cuenta sin conocer la contraseña. Resulta que MultiLogin de Google hace que las cookies de inicio de sesión sean un objetivo mucho más atractivo. La empresa de seguridad CloudSEK pudo aplicar ingeniería inversa a una nueva variante del malware ladrón Lumma para comprender mejor cómo los actores de amenazas aprovechan MultiLogin.
El punto final MultiLogin puede regenerar tokens de autenticación según sea necesario. Así es como podrías, por ejemplo, cambiar tu contraseña de Google sin cerrar sesión en todas tus sesiones. El token simplemente se regenera en su máquina a partir de un par de tokens llamados GAIA ID y encrypted_token. Se supone que sólo puedes hacer esto una vez, pero la técnica PRISMA permite que los tokens se regeneren infinitamente.
Código de explotación que muestra la explotación del punto final MultiLogin.
Google está al tanto del ataque, pero no puede simplemente desactivar el punto final MultiLogin. Dice que todas las cuentas afectadas que detectó han sido restauradas y actualiza constantemente sus defensas para dificultar estos ataques. Vale la pena señalar que esta no es una vulnerabilidad independiente.
Un atacante aún necesita obtener acceso a la máquina mediante un exploit y extraer los datos necesarios. Si un delincuente en línea tiene ese tipo de acceso a su dispositivo, una cuenta de Google comprometida es sólo una de muchas preocupaciones. La mayoría de estas herramientas de malware como servicio pueden generar ganancias más rápidamente al robar carteras criptográficas .
Si bien los actores de amenazas que utilizan este método pueden conservar el acceso incluso después de que usted cambie su contraseña, existe una manera fácil de bloquearlos. La configuración de la cuenta de Google tiene una lista de todas las sesiones iniciadas actualmente. Desde allí, puedes desconectar cualquier cosa manualmente, incluido un hacker que tenga tus tokens. También puedes usar el panel de dispositivos para cerrar sesión en todos los dispositivos, solo para estar seguro.
