Un malware voleur d’informations appelé « Lumma » ou « Lumma Stealer » a récemment déployé une nouvelle fonctionnalité qui prétend pouvoir restaurer les cookies d’authentification Google expirés. Lumma a été découvert pour la première fois en 2022 et fonctionne comme un malware en tant que service. Lumma Stealer utilise un plan par abonnement grâce auquel les acteurs malveillants peuvent louer et distribuer le malware. Dans sa mise à jour la plus récente, les membres du niveau Lumma Corporate qui paient 1 000 USD par mois ont désormais la possibilité de restaurer les cookies d’authentification Google expirés. Si un acteur malveillant accède à ces cookies, il peut usurper l’identité de l’utilisateur associé au compte et contourner les procédures de connexion standard.
Les cookies d’authentification/de session Google sont de petits éléments de données stockés sur l’appareil d’un utilisateur qui contiennent des informations relatives à sa session de connexion. Ces cookies sont essentiels au maintien de l’authentification des utilisateurs, permettant aux utilisateurs de rester connectés sur différentes pages ou sessions. Les cookies couvrent divers services Google, allant au-delà des seuls comptes Gmail. Les acteurs malveillants qui obtiennent des cookies de session valides peuvent pirater efficacement le compte Google d’une victime. Les cookies ont des dates d’expiration comme mesure de sécurité conçue pour limiter la fenêtre d’opportunité pour les attaquants. La combinaison des dates d’expiration et des divers mécanismes de sécurité rend difficile pour les acteurs malveillants de les exploiter avec succès.
Alon Gal, le CTO de Hudson Rock, a découvert pour la première fois la mise à jour Lumma qui prétend pouvoir relancer les cookies. La mise à jour indique qu’elle peut extraire les cookies Google non expirables des appareils infectés, même si le propriétaire modifie les mots de passe. Les développeurs de Lumma affirment qu’il s’agit « peut-être de la plus grande mise à jour depuis l’ouverture du projet ». Notamment, un autre malware voleur d’informations appelé Rhadamanthys a récemment annoncé une fonctionnalité similaire. Interrogé à ce sujet par Bleeping Computer, un agent de Lumma affirme que la fonctionnalité a été copiée à partir de Lumma Stealer.
La dernière mise à jour de Lumma prétend relancer les cookies d’authentification Google expirés
Les capacités de Lumma Stealer n’ont pas encore été vérifiées par Google ou par des chercheurs en sécurité. Comme le prétend Lumma, la possibilité de « restaurer les cookies morts à l’aide d’une clé issue des fichiers de restauration (s’applique uniquement aux cookies de Google) » est plutôt effrayante. Google, apparemment conscient de la menace, a publié une mise à jour présentant certaines restrictions sur les jetons. Par conséquent, Lumma a répliqué avec une mise à jour qui « a corrigé les journaux Google ».
Le vol des cookies de session Google ouvre de nombreux problèmes. Les acteurs malveillants auront un accès direct aux comptes Google, leur permettant d’exploiter une gamme d’informations sensibles. De plus, un attaquant pourrait se faire passer pour la victime, contournant les procédures de connexion et prenant le contrôle de ses e-mails, documents, contacts et autres paramètres personnalisés. Ils pourraient envoyer des e-mails ou des messages au nom de la victime et potentiellement compromettre d’autres comptes liés si la victime utilise ses informations d’identification Google pour plusieurs services. Donc oui, il s’agit d’une menace grave.
