Um novo malware de roubo apareceu em cena informace e que, ao fazer isso, explora um endpoint não divulgado do Google OAuth chamado MultiLogin para atualizar cookies de autenticação expirados e fazer login em contas de usuários, mesmo que a senha da conta tenha sido redefinida. O site BleepingComputer informou sobre isso.
No final de novembro do ano passado, o BleepingComputer relatou sobre um spyware chamado Lumma que pode restaurar cookies de autenticação do Google que expiraram em ataques cibernéticos. Esses arquivos permitiriam que os cibercriminosos obtivessem acesso não autorizado às contas do Google, mesmo depois que seus proprietários saíssem, redefinissem suas senhas ou expirassem a sessão. Vinculando a um relatório do servidor CloudSEK, o site descreveu como funciona esse ataque de dia zero.
Fotogalerie
Resumindo, a falha permite essencialmente que malware seja instalado em um computador desktop para “extrair e decodificar credenciais contidas no banco de dados local do Google Chrome”. CloudSEK descobriu um novo vírus que tem como alvo os usuários do Chrome para obter acesso às contas do Google. Este malware perigoso depende de rastreadores de cookies.
A razão pela qual isso pode acontecer sem que os usuários percebam é porque o spyware mencionado acima permite isso. Ele pode restaurar cookies expirados do Google usando uma chave de API de consulta recém-descoberta. Para piorar a situação, os cibercriminosos podem usar essa exploração mais uma vez para acessar sua conta, mesmo que você tenha redefinido a senha da sua conta do Google.
Você pode estar interessado em
De acordo com o BleepingComputer, ele entrou em contato com o Google várias vezes sobre esse problema do Google, mas ainda não recebeu resposta.
