Malware ruba account Google sfruttando vulnerabilità dei cookie

Diverse famiglie di malware che rubano informazioni stanno abusando di un endpoint OAuth di Google non documentato denominato “MultiLogin”. Questo è quanto riportato da un recente report pubblicato dai ricercatori di CloudSEK, che spiega nei dettagli il funzionamento di questo exploit zero-day e dipinge un quadro terribile per quanto riguarda la portata del suo sfruttamento. MultiLogin permette infatti di ripristinare i cookie di autenticazione scaduti e accedere agli account degli utenti, anche se la password di un account è stata reimpostata. L'exploit è stato rivelato per la prima volta da un hacker di nome PRISMA il 20 ottobre 2023, che ha pubblicato su Telegram di aver scoperto un modo per ripristinare i cookie di autenticazione di Google scaduti. Alla fine di novembre sono poi stati segnalati i malware Lumma e Rhadamanthys, capaci di ripristinare i cookie di autenticazione di Google scaduti rubati durante gli attacchi.

Google: come viene sfruttato il malware per accedere alle password

Il malware prima infetta il computer degli utenti e in seguito ruba e decrittografa i token di accesso archiviati nel database locale di Chrome. Questi token vengono utilizzati da Chrome per sincronizzare l’account utente tra diversi servizi Google. Il malware utilizza poi i token per inviare una richiesta a un'API di Google e generare cookie persistenti capaci di autenticare l’account della vittima. Questi cookie possono essere utilizzati dagli aggressori per accedere da qualsiasi dispositivo o browser, senza bisogno di password o codice di verifica. L'aspetto più allarmante dell'attacco è che i cookie possono essere nuovamente autorizzati utilizzando una chiave dai file di ripristino creati dal malware sul desktop. Ciò significa che i cookie potrebbero rimanere validi anche dopo aver modificato la password. Inoltre, gli aggressori possono ripetere questo processo più volte, se le vittime non sono ignare dell’infezione.

È noto che questa vulnerabilità è stata sfruttata da almeno sei gruppi di malware, ed è stata venduta anche sul dark web. Gli esperti di sicurezza consigliano agli utenti di scansionare regolarmente il proprio PC utilizzando antivirus affidabili, eliminando anche eventuali file sospetti. Per una maggiore sicurezza è anche possibile controllare il proprio account Google e disconnettersi da tutti i dispositivi o browser non riconosciuti.