Dans une révélation inquiétante, plusieurs familles de logiciels malveillants voleurs d’informations exploitent un point de terminaison Google OAuth non documenté nommé « MultiLogin » pour réactiver les cookies d’authentification expirés, fournissant ainsi un accès non autorisé aux comptes Google des utilisateurs. Les cookies de session, conçus pour avoir une durée de vie limitée, expirent généralement, empêchant ainsi un accès non autorisé prolongé.

Cependant, les acteurs malveillants ont découvert un exploit Zero Day leur permettant de régénérer les cookies d’authentification Google expirés, même après que les propriétaires légitimes ont réinitialisé leurs mots de passe ou se sont déconnectés. Un acteur malveillant nommé PRISMA a initialement divulgué l’exploit et partagé la méthode de restauration des cookies expirés sur Telegram.

Les chercheurs de CloudSEK ont étudié la question plus en détail, révélant que l’exploit exploite le point de terminaison « MultiLogin », destiné à synchroniser les comptes entre divers services Google. Le point de terminaison de l’API abusé, qui fait partie de l’API Gaia Auth, accepte un vecteur d’identifiants de compte et de jetons de connexion d’authentification, permettant aux acteurs malveillants d’extraire des informations cruciales pour un accès persistant.

Des logiciels malveillants tels que Lumma, Rhadamanthys, Stealc, Medusa et RisePro ont déjà adopté l’exploit du point de terminaison Google OAuth.

L’exploit du jour zéro fonctionne en extrayant les jetons et les identifiants de compte des profils Chrome connectés à un compte Google. Les informations volées incluent le service (ID GAIA) et le token_crypté. À l’aide d’une clé de chiffrement stockée dans le fichier « Local State » de Chrome, les acteurs malveillants décryptent les jetons volés. Ces jetons déchiffrés, associés au point de terminaison MultiLogin, permettent aux acteurs malveillants de régénérer les cookies du service Google expirés. Il peut efficacement maintenir un accès persistant aux comptes compromis.

Les acteurs malveillants ne peuvent régénérer le cookie d’authentification qu’une seule fois si un utilisateur réinitialise son mot de passe Google. Cependant, ils peuvent le régénérer à plusieurs reprises si le mot de passe reste inchangé. Notamment, plusieurs logiciels malveillants voleurs d’informations, notamment Lumma, Rhadamanthys, Stealc, Medusa, RisePro et Whitesnake, ont adopté cet exploit. Ces variantes de logiciels malveillants revendiquent la possibilité de régénérer les cookies Google à l’aide du point de terminaison de l’API. Cela constitue une menace importante pour la sécurité des comptes utilisateur.

Bien que l’exploitation ait été révélée et démontrée, Google n’a pas officiellement confirmé l’abus du point de terminaison MultiLogin. La situation suscite des inquiétudes quant à l’ampleur de l’exploitation et au manque d’efforts d’atténuation. L’adoption de cet exploit par plusieurs familles de logiciels malveillants souligne le besoin urgent pour Google de traiter et de corriger cette vulnérabilité Zero Day. Voici une démonstration rapide du processus.

A lire également