En una escalofriante revelación, investigadores de seguridad han descubierto que varias familias de malware están utilizando un punto final no documentado de Google OAuth llamado “MultiLogin” para restaurar cookies de autenticación caducadas, permitiendo a los ciberdelincuentes secuestrar cuentas incluso después de que se hayan tomado medidas de seguridad como cambiar contraseñas o cerrar sesiones. Este exploit, que fue dado a conocer por un actor de amenazas llamado PRISMA, ha puesto de manifiesto la vulnerabilidad en el sistema de autenticación de Google.
A finales de noviembre de 2023, se informó sobre dos malwares, Lumma y Rhadamanthys, que afirmaron tener la capacidad de restaurar cookies de autenticación de Google caducadas, desencadenando preocupaciones sobre la seguridad de las cuentas de Google.
Los investigadores de CloudSEK han desentrañado los detalles del exploit, que utiliza el punto final no documentado “MultiLogin” de Google OAuth. Este punto final está diseñado para sincronizar cuentas en diferentes servicios de Google mediante la aceptación de un vector de ID de cuenta y tokens de inicio de sesión de autenticación. El malware extrae tokens e ID de cuenta de perfiles de Chrome conectados a una cuenta de Google y utiliza la información robada para regenerar cookies de autenticación caducadas.
El malware, una vez instalado, extrae información crucial de perfiles de Chrome, incluidos GAIA ID y encrypted_token. Los tokens encriptados se descifran utilizando una clave almacenada en el archivo “Estado local” de Chrome, que también se utiliza para descifrar contraseñas guardadas en el navegador. Con esta información, los ciberdelincuentes pueden regenerar cookies caducadas, manteniendo así un acceso persistente a las cuentas comprometidas.
Este exploit permite a los atacantes eludir medidas de seguridad comunes, como el restablecimiento de contraseñas, ya que las cookies pueden ser regeneradas incluso después de este proceso. La persistencia del acceso compromete la integridad de las cuentas de Google y plantea serias preocupaciones sobre la seguridad en línea.
Ante la gravedad de esta amenaza, es esencial que los usuarios estén alertas y tomen medidas adicionales para proteger sus cuentas. Además, se espera que Google responda con medidas de mitigación para abordar esta vulnerabilidad crítica y proteger la seguridad de sus usuarios.
