Threats
Os malware “info-stealers” estão a abusar do endpoint OAuth do Google para restaurar cookies de autenticação e obter acesso a credenciais de login
03/01/2024
|
Várias famílias de malware estão a utilizar um endpoint não documentado do Google OAuth chamado “MultiLogin” para restaurar cookies de autenticação expiradas, conseguindo fazer login nas contas dos utilizadores mesmo se sua a palavra-passe tiver sido redefinida. As cookies de sessão contêm informações de autenticação, permitindo que um utilizador faça login automaticamente nos sites sem ter de inserir as suas credenciais manualmente. Por esta razão, a vida útil destes tipos de cookies deverá ser limitada de forma que, caso os cibercriminosos obtenham acesso às credenciais, não as possam utilizar indefinidamente para fazer login nas contas dos indivíduos visados. De acordo com um relatório recentemente publicado pela CloudSEK, esta exploração zero-day foi revelada pela primeira vez por um cibercriminoso designado PRISMA, no dia 20 de outubro de 2023, que publicou no Telegram que havia descoberto uma forma de restaurar cookies de autenticação expiradas do Google. Os investigadores da CloudSEK conseguiram descobrir, através de uma engenharia reversa da exploração, que os agentes de ameaça estão a abusar do “MultiLogin”, um endpoint OAuth do Google não documentado que permite sincronizar as contas em diferentes serviços do Google ao aceitar um vetor de ID de contas e tokens de login de autenticação. “Esta solicitação é usada para definir contas do Chrome no navegador nos cookies de autenticação do Google para vários sites do Google (por exemplo, YouTube)”, explica uma descrição do endpoint da API no código-fonte do Google Chrome. “Esta solicitação faz parte da API Gaia Auth e é acionada sempre que as contas nos cookies não são consistentes com as contas no navegador”. Segundo a CloudSEK, para aceder aos dados privados dos seus alvos, os malware “info-stealers” estão a recorrer a este endpoint, que extrai tokens e ID de contas de perfis do Chrome conectados a uma conta do Google. Estas informações, a que os cibercriminosos têm, acesso contêm dois dados essenciais: serviço (GAIA ID) e token criptografado. Os tokens criptografados são descriptografados através de uma criptografia armazenada no ficheiro ‘Estado Local’ (‘Local State’) do Google Chrome. Ainda mais, a chave de criptografia é também utilizada para descriptografar palavras-passe guardadas no navegador. |
Receba todas as novidades na sua caixa de correio!
THREATS
Novo alerta de vulnerabilidades partilhado pelo CNCS
ANALYSIS
Ataques de malware contra a indústria estão a ficar mais sofisticados
THREATS
MITRE alvo de ataque por grupo patrocinado por Estado-nação
ANALYSIS
As profissões-chave para proteger as organizações contra ciberameaças
THREATS
Violação de dados da Dropbox afeta as informações dos clientes
THREATS
EUA alertam que Coreia do Norte está a explorar definições de email fracas
THREATS
Mais de mil servidores da GitLab afetados por vulnerabilidade explorada
THREATS
Ator de ameaça chinês ligado ao GFW investiga resolvedores DNS há anos
THREATS
Violação de dados da Dropbox afeta as informações dos clientes
THREATS
Trojan para Android permite tomar controlo dos dispositivos
