Threats

Malware usa endpoint OAuth do Google para restaurar cookies de autenticação

Os malware “info-stealers” estão a abusar do endpoint OAuth do Google para restaurar cookies de autenticação e obter acesso a credenciais de login

03/01/2024

Malware usa endpoint OAuth do Google para restaurar cookies de autenticação

Várias famílias de malware estão a utilizar um endpoint não documentado do Google OAuth chamado “MultiLogin” para restaurar cookies de autenticação expiradas, conseguindo fazer login nas contas dos utilizadores mesmo se sua a palavra-passe tiver sido redefinida.

As cookies de sessão contêm informações de autenticação, permitindo que um utilizador faça login automaticamente nos sites sem ter de inserir as suas credenciais manualmente. Por esta razão, a vida útil destes tipos de cookies deverá ser limitada de forma que, caso os cibercriminosos obtenham acesso às credenciais, não as possam utilizar indefinidamente para fazer login nas contas dos indivíduos visados.

De acordo com um relatório recentemente publicado pela CloudSEK, esta exploração zero-day foi revelada pela primeira vez por um cibercriminoso designado PRISMA, no dia 20 de outubro de 2023, que publicou no Telegram que havia descoberto uma forma de restaurar cookies de autenticação expiradas do Google.

Os investigadores da CloudSEK conseguiram descobrir, através de uma engenharia reversa da exploração, que os agentes de ameaça estão a abusar do “MultiLogin”, um endpoint OAuth do Google não documentado que permite sincronizar as contas em diferentes serviços do Google ao aceitar um vetor de ID de contas e tokens de login de autenticação.

“Esta solicitação é usada para definir contas do Chrome no navegador nos cookies de autenticação do Google para vários sites do Google (por exemplo, YouTube)”, explica uma descrição do endpoint da API no código-fonte do Google Chrome. “Esta solicitação faz parte da API Gaia Auth e é acionada sempre que as contas nos cookies não são consistentes com as contas no navegador”.

Segundo a CloudSEK, para aceder aos dados privados dos seus alvos, os malware “info-stealers” estão a recorrer a este endpoint, que extrai tokens e ID de contas de perfis do Chrome conectados a uma conta do Google. Estas informações, a que os cibercriminosos têm, acesso contêm dois dados essenciais: serviço (GAIA ID) e token criptografado.

Os tokens criptografados são descriptografados através de uma criptografia armazenada no ficheiro ‘Estado Local’ (‘Local State’) do Google Chrome. Ainda mais, a chave de criptografia é também utilizada para descriptografar palavras-passe guardadas no navegador.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.