I ricercatori di CloudSEK hanno scoperto che molte famiglie di malware sfruttano una funzionalità non documentata di Google OAuth per ripristinare i cookie di autenticazione e accedere all’account, anche se l’utente ha cambiato la password. L’azienda di Mountain View non ha ancora confermato il problema.
Exploit zero-day di MultiLogin
I cookie di autenticazione o di sessione sono un tipo speciale di cookie del browser che permette di effettuare l’accesso automatico a siti web e servizi senza inserire le credenziali. Per ovvi motivi, questi cookie hanno una vita breve perché possono essere utilizzati dai cybercriminali per prendere il controllo dell’account, anche dopo il termine della sessione o il reset della password. Tra i malware in grado di ripristinare i cookie ci sono gli info-stealer Lumma e Rhadamanthys.
Gli esperti di CloudSEK hanno scoperto che i cybercriminali sfruttano un endpoint di Google OAuth denominato MultiLogin, un meccanismo sviluppato per la sincronizzazione degli account Google tra i servizi mediante un vettore di account ID e token di autenticazione. Gli info-stealer possono estrarre account ID e token dai profili Chrome. Tramite una complessa procedura è possibile rigenerare i cookie scaduti e mantenere la persistenza nell’account.
Un ricercatore ha evidenziato però che i cookie di autenticazione possono essere ripristinati solo una volta, se l’utente ha cambiato la password. In caso contrario possono essere ripristinati un numero infinito di volte. L’exploit è stato incluso in almeno sei info-stealer.
Google non ha confermato ufficialmente il problema. Tuttavia, l’info-stealer Lumma è stato recentemente aggiornato per aggirare le mitigazioni introdotte, quindi l’azienda di Mountain View è a conoscenza dell’exploit zero-day.
Aggiornamento (7/01/2024): Google ha dichiarato che le API MultiLogin funzionano correttamente. Gli utenti possono invalidare i cookie chiudendo le sessioni nella sezione Sicurezza dell’account Google, sotto la voce “I tuoi dispositivi”.