近日,有多个窃取信息的恶意软件家族正在滥用一个未记载的名为 "MultiLogin "的谷歌 OAuth 端点复原过时的身份验证 cookie 。经过这种模式黑客可以失掉到用户账户信息,即使账户明码已被重置仍能成功登陆。
但在2023年11月下旬,Lumma和Rhadamanthys黑客曾宣称可以复原在攻打中被盗的过时谷歌身份验证cookie,即使非法一切者曾经注销、重置明码或会话过时,这些 cookie 仍可让网络立功分子在未经授权的状况下访问谷歌账户。
应用谷歌 OAuth 端点
CloudSEK 钻研人员上周五(12月29日)发布的一份报告进一步提醒了这个零日破绽的上班原理,并论述了该破绽的被大规模应用的重大结果。
2023 年 10 月 20 日,一个名为 PRISMA 的要挟行为者初次披露了该破绽,他在 Telegram 上发布信息称发现了一种复原过时 Google 身份验证 cookie 的方法。
此恳求用于在多个 Google 网站(例如 YouTube)的 Google 身份验证 cookie 中设置阅读器中的 Chrome 帐户。 这个恳求是 Gaia Auth API 的一局部,只需 cookie 中的帐户与阅读器中的帐户不分歧就会触发。
CloudSEK 示意,滥用该终端的信息窃取恶意软件会提取登录到谷歌账户的 Chrome 性能文件的 tokens 和账户 ID。这些被盗信息蕴含两个关键数据:service (GAIA ID) 和 encrypted_token。
加密令牌经常使用存储在 Chrome 阅读器 "Local State" 文件中的加密密钥启动解密。雷同的加密密钥也用于解密阅读器中保留的明码。
经过应用窃取的 token,GAIA 与多重登录端点配对,要挟行为者可以重重生成过时的 Google Service cookies,并坚持对受损账户的耐久访问。
CloudSek 钻研员 Pavan Karthick 示意,他们对该破绽启动了逆向工程,并能够经常使用它来重重生成过时的 Google 身份验证 cookie,如下所示:
Karthick 解释称,假设用户重置其 Google 明码,身份验证 cookie 只能重重生成一次性。否则,它可以屡次重重生成,从而提供对帐户的耐久访问。
恶意软件开发者急于增加破绽
Lumma stealer 于 11 月 14 日初次应用了该破绽,其开发人员驳回了黑盒技术,如用私钥加密 token:GAIA 对,以向竞争对手暗藏这一机制,并防止复制该性能。
Radamanthys 是第一个在 11 月 17 日效仿的人;尔后还有 12 月 1 日的 Stealc、12 月 11 日的 Medusa、12 月 12 日的 RisePro 和 12 月 26 日的 Whitesnake。因此,目前至少有 6 个信息窃取者宣称能够经常使用此 API 端点重重生成 Google cookie。
Lumma 还发布了该破绽的降级版本:转而经常使用 SOCKS 代理来回避 Google 的滥用检测措施,并在恶意软件和 MultiLogin 端点之间成功加密通讯;以对消谷歌的缓解措施。
因为Google尚未证明MultiLogin端点被滥用,因此目前该破绽的应用状况及其缓解措施仍不分明。