Google odgovorio na otkrivanje zlonamernog softvera koji iskorišćava sesijski token za preuzimanje naloga

Izgleda da nedavno otkrivena Google zero-day ranjivost omogućava zlonamernim korisnicima da regenerišu autentikacioni kolačić kako bi se prijavili na korisnički nalog, čak i nakon promene lozinke.

Softver dizajniran za krađu informacija od korisnika i preuzimanje njihovih Google naloga koristi se od strane više zlonamernih grupa, čak i nakon resetovanja lozinke, prema istraživačima bezbednosti.

Eksploatacija je navodno usmerena na Windows računare. Kada je uređaj zaražen, koristi tehniku koju koriste “info kradljivci” da ukradu sesijski token za prijavu – dodeljen korisnikovom računaru kada se prijavi na svoj nalog – i otpreme ga na server sajber-kriminalaca.

Prema izveštaju istraživača kompanije CloudSEK, softver je prvi put pokrenut od strane hakerske grupe PRISMA u oktobru 2023. godine, i koristi OAuth endpoint poznatog pretraživača MultiLogin koji Google koristi kako bi korisnicima omogućio da prebacuju između korisničkih profila u istom pregledaču ili da koriste višestruke prijavne sesije istovremeno.

Shutterstock

Softver koristi autentikacione tokene za prijavu korisničkih Google naloga koji su prijavljeni na računaru. Neophodni detalji se dešifruju uz pomoć ključa ukradenog iz UserData foldera u Windows sistemu, prema izveštaju.

Google ipak ima rešenje

Korišćenjem ukradenih sesijskih tokena za prijavu, zlonamerni korisnici mogu čak i regenerisati autentikacioni kolačić kako bi se prijavili na korisnički nalog nakon što istekne – čak i nakon što korisnik promeni lozinku. Kao rezultat toga, operateri softvera mogu zadržati pristup korisničkom nalogu. U videu ispod je prikazana demonstracija iskorišćavanja ovog propusta.

U jučerašnjoj izjavi za 9to5Google, Google je izjavio da redovno unapređuje svoje odbrane protiv tehnika koje koristi malver, i da su kompromitovani nalozi, otkriveni od strane kompanije, obezbeđeni.

Google takođe ističe da korisnici mogu opozvati ili poništiti ukradene sesijske tokene odjavljivanjem sa pregledača na uređaju koji je zaražen softverom ili pristupanjem stranici uređaja u postavkama svog naloga i daljinskim odjavljivanjem iz tih sesija.

Korisnici takođe mogu skenirati svoje računare na prisustvo malvera i omogućiti opciju “Enhanced Safe Browsing” u Google Chrome-u kako bi izbegli preuzimanje malvera na svoje računare, prema informacijama iz kompanije.