Un software malicioso de robo de datos está activamente explotando un endpoint de Google OAuth (MultiLogin) no documentado, para tomar el control de las sesiones de los usuarios y mantener acceso a los servicios de Google incluso después de que estos hayan restablecido sus contraseñas.

CloudSEK sostiene que esta vulnerabilidad crítica facilita la persistencia de la sesión y la creación de cookies, lo que permite a los ciberdelincuentes mantener un acceso no autorizado a una sesión válida.

La técnica fue inicialmente divulgada por un actor de amenazas conocido como PRISMA el 20 de octubre de 2023 en su canal de Telegram. Desde entonces, se ha integrado en varias familias de software malicioso de malware como servicio (MaaS), como Lumma, Rhadamanthys, Stealc, Medusa, RisePro y WhiteSnake.

El endpoint de autenticación de MultiLogin está diseñado principalmente para sincronizar cuentas de Google entre servicios cuando los usuarios inician sesión en sus cuentas en el navegador web Chrome.

Pavan Karthick M.

Mediante ingeniería inversa del código de Lumma Stealer, se descubrió que esta técnica apunta a la tabla token_service de WebData de Chrome, para extraer tokens e ID de cuenta de perfiles conectados. Esta tabla contiene dos columnas fundamentales: servicio (GAIA ID) y encrypted_token.
Luego, esta combinación de token: ID GAIA se emplea con el endpoint MultiLogin para regenerar las cookies de autenticación de Google.

  • Cuando el usuario ha iniciado sesión en el navegador, en cuyo caso el token se vuelve reutilizable sin restricciones.
  • Cuando el usuario cambia la contraseña pero mantiene la sesión activa en Google, en este caso, el token solo puede ser utilizado una vez, ya que se ha empleado previamente para mantener la sesión.
  • Si el usuario cierra la sesión en el navegador, el token se invalida y se elimina del almacenamiento local del navegador, pero se regenera al iniciar sesión nuevamente.

Fuente:

Malware Using Google MultiLogin Exploit to Maintain Access Despite Password Reset