Više porodica malvera za krađu informacija zloupotrebljava nedokumentovanu krajnju tačku Google OAuth pod nazivom “MultiLogin” za vraćanje isteklih kolačića za autentifikaciju i prijavljivanje na korisničke račune, čak i ako je lozinka naloga poništena.
Kolačići sesije su posebna vrsta kolačića preglednika koji sadrži informacije o autentifikaciji, omogućavajući osobi da se automatski prijavi na web stranice i servise bez unošenja svojih kredencijala.
Ove vrste kolačića imaju ograničen vijek trajanja, tako da ih hakeri ne mogu beskonačno koristiti za prijavu na račune ako su ukradeni.
Krajem novembra 2023. BleepingComputer je izvijestio o dvojici kradljivaca informacija, odnosno Lummi i Rhadamanthysu, koji su tvrdili da mogu obnoviti istekle Google autentifikacijske kolačiće ukradene u napadima.
Ovi kolačići bi omogućili sajber kriminalcima da dobiju neovlašteni pristup Google nalozima čak i nakon što se legitimni vlasnici odjave, ponište svoje lozinke ili im istekne sesija.
BleepingComputer je kontaktirao Google više puta tokom mjesec dana s pitanjima o ovim tvrdnjama i kako planiraju ublažiti problem, ali nikada nismo dobili odgovor.
Iskorišćavanje krajnje tačke Google OAuth
Izvještaj koji su danas objavili istraživači CloudSEK-a baca više svjetla na to kako ovaj exploit nultog dana funkcioniše i daje strašnu sliku u pogledu razmjera njegove eksploatacije.
Eksploataciju je prvi otkrio haker po imenu PRISMA 20. oktobra 2023. godine, koji je na Telegramu objavio da su otkrili način za obnavljanje isteklih Google autentifikacijskih kolačića.
Nakon obrnutog inženjeringa eksploatacije, CloudSEK je otkrio da koristi nedokumentiranu Google OAuth krajnju tačku pod nazivom “MultiLogin”, koja je namijenjena za sinhronizaciju naloga na različitim Google uslugama prihvatanjem vektora ID-ova naloga i tokena za auth-login.
“Ovaj zahtjev se koristi za postavljanje Chrome naloga u pretraživaču u Google autentifikacijskim kolačićima za nekoliko google web stranica (npr. youtube)”, objašnjava opis krajnje tačke API-ja u izvornom kodu Google Chrome.
“Ovaj zahtjev je dio Gaia Auth API-ja i pokreće se kad god nalozi u kolačićima nisu u skladu s nalozima u pretraživaču”, dalje objašnjava varijabla u izvornom kodu.
CloudSEK kaže da malver za krađu informacija koji zloupotrebljava ovu krajnju tačku izvlači tokene i ID-ove naloga Chrome profila prijavljenih na Google nalog. Ova ukradena informacija sadrži dva ključna podatka: uslugu (GAIA ID) i encrypted_token.
Šifrirani tokeni se dešifruju korištenjem enkripcije pohranjene u Chrome datoteci ‘Local State’. Ovaj isti ključ za šifrovanje se takođe koristi za dešifrovanje sačuvanih lozinki u pretraživaču.
Koristeći ukradene token:GAIA parove sa krajnjom tačkom MultiLogin, hakeri mogu regenerisati istekle kolačiće Google servisa i održavati uporan pristup kompromitovanim nalozima.
Koristeći token:GAIA parove čita iz tekstualne datoteke radi generisanja zahtijeva za MultiLogin Izvor: CloudSEK
U diskusiji sa istraživačem CloudSek-a Pavanom Karthickom, BleepingComputer-u je rečeno da su izvršili reverzni inženjering eksploatacije i da su ga mogli koristiti za regeneraciju Google autentifikacijskih kolačića koji su istekli, kao što je prikazano u nastavku.
Uspešna regeneracija kolačića nakon resetovanja lozinke
Izvor: CloudSEK
Međutim, Karthick je objasnio da autentifikacijski kolačić može biti regenerisan samo jednom ako korisnik resetuje svoju Google lozinku. U suprotnom, može se regenerisati više puta, pružajući uporan pristup računu.
Programeri malvera žure da dodaju exploit
Lumma stealer je prvi put usvojio eksploataciju 14. novembra, čiji su programeri primijenili tehnike blackboxing-a kao što je šifrovanje para token:GAIA privatnim ključevima kako bi sakrili mehanizam od konkurenata i sprečili replikaciju funkcije.
Ipak, drugi su uspjeli kopirati ovu funkciju ili ugraditi PRISMA-in eksploat u svoje kradljivce, a Rhadamanthys je bio prvi koji je slijedio 17. novembra.
Od tada su brojni drugi kradljivci informacija usvojili eksploataciju, uključujući Stealc 1. decembra, Meduzu 11. decembra, RisePro 12. decembra i Whitesnake 26. decembra.
Dakle, najmanje šest kradljivaca informacija trenutno tvrdi da imaju mogućnost regeneracije Google kolačića koristeći ovu API krajnju tačku.
Obavještajna firma o prijetnjama Hudson Rock takođe je objavila video na YouTube-u, gdje sajber kriminalac pokazuje kako funkcioniše eksploatacija vraćanja kolačića.
Naknadno izdanje od strane Lumme ažuriralo je eksploataciju kako bi se suprotstavilo Google-ovim ublažavanjima, sugerišući da tehnološki gigant zna za aktivno iskorištavanu zero-day grešku.
Konkretno, Lumma se okrenula korištenju SOCKS proksija kako bi izbjegla Google-ove mjere za otkrivanje zloupotrebe i implementirala šifrovanu komunikaciju između malvera i krajnje tačke MultiLogin.
Međutim, budući da Google nije potvrdio zloupotrebu krajnje tačke MultiLogin, status eksploatacije i napori na njenom ublažavanju u ovom trenutku ostaju nejasni.
Izvor: BleepingComputer
