Varias familias de malware que se dedican a la obtención de datos están explotando un punto final no documentado de Google OAuth conocido como "MultiLogin". Utilizan este punto para restaurar las cookies de autenticación que han caducado, lo que les permite acceder a las cuentas de los usuarios incluso si estos han cambiado sus contraseñas.
Las cookies de sesión son un tipo especial de cookies del navegador que almacenan información de autenticación, lo que facilita el inicio de sesión automático en sitios web y servicios sin necesidad de ingresar las credenciales cada vez. Estas cookies están diseñadas para tener un período de validez limitado, lo que debería prevenir su uso indefinido por parte de actores maliciosos si son robadas.
A finales de noviembre de 2023, se informó sobre dos grupos de ciberdelincuentes, Lumma y Rhadamanthys, que afirmaban tener la capacidad de recuperar cookies de autenticación de Google que habían caducado como resultado de sus ataques. Estas cookies les proporcionarían a los atacantes acceso no autorizado a las cuentas de Google, incluso después de que los propietarios legítimos hayan cerrado la sesión, cambiado sus contraseñas o cuando sus sesiones hayan expirado.
Se realizaron múltiples intentos de contacto con la empresa responsable de Google durante un mes, con el propósito de obtener respuestas a preguntas sobre estas afirmaciones y conocer sus planes para abordar este problema. Sin embargo, no se recibió ninguna respuesta por parte de la compañía.
Te podrá interesar: Desarrolladores de Malware: Restauración de 'Cookies' de Sesión
Un informe publicado por investigadores de CloudSEK arroja más detalles sobre la explotación de un día cero y pinta un panorama preocupante en cuanto a su alcance. El primer indicio de esta explotación surgió el 20 de octubre de 2023, cuando un actor de amenazas autodenominado PRISMA compartió en Telegram su descubrimiento sobre cómo restaurar las cookies de autenticación de Google que habían caducado.
Tras realizar un análisis inverso del exploit, CloudSEK descubrió que este aprovecha un punto final no documentado de Google OAuth llamado "MultiLogin". Este punto final tiene como objetivo sincronizar cuentas entre diferentes servicios de Google, aceptando un conjunto de ID de cuenta y tokens de inicio de sesión de autenticación.
"Esta solicitud se utiliza para configurar cuentas de Chrome en el navegador con las cookies de autenticación de Google para varios sitios web de Google, como YouTube", se describe en el código fuente de Google Chrome.
Una variable en el código fuente proporciona una explicación más detallada, señalando que esta solicitud forma parte de la API de Autenticación Gaia y se activa cuando las cuentas en las cookies no coinciden con las cuentas en el navegador.
Mediante el uso de un token, los actores maliciosos extraen los pares GAIA de un archivo de texto y los emplean para crear solicitudes dirigidas a MultiLogin
CloudSEK ha identificado que el malware de robo de información abusa de este punto final, extrayendo tokens e ID de cuenta de los perfiles de Chrome vinculados a una cuenta de Google. Estos datos robados incluyen dos componentes cruciales: el servicio (ID GAIA) y el token cifrado.
Los tokens cifrados se descifran utilizando una clave almacenada en el archivo 'Estado local' de Chrome. Esta misma clave de cifrado se utiliza para descifrar las contraseñas almacenadas en el navegador.
Al utilizar el token robado de GAIA en combinación con el punto final MultiLogin, los actores de amenazas pueden regenerar las cookies caducadas del servicio de Google, lo que les permite mantener un acceso persistente en las cuentas comprometidas.
Te podrá interesar: Importancia de borrar tu historial y cookies en dispositivos móviles
Lumma Steer fue el primero en adoptar el exploit el 14 de noviembre. Sus desarrolladores aplicaron técnicas de caja negra, como la encriptación del token GAIA con claves privadas, con el fin de ocultar el funcionamiento del mecanismo a competidores y prevenir la replicación de la función. Sin embargo, otros lograron copiar esta característica o integrar el exploit de PRISMA en sus programas maliciosos, siendo Rhadamanthys el primero en seguir este camino el 17 de noviembre.
Desde entonces, numerosos ladrones de información han adoptado este exploit, entre ellos Stealc el 1 de diciembre, Medusa el 11 de diciembre, RisePro el 12 de diciembre y Whitesnake el 26 de diciembre. En consecuencia, al menos seis ladrones de información afirman actualmente tener la capacidad de regenerar las cookies de Google utilizando este punto final de la API.
Una versión posterior de Lumma actualizó el exploit para contrarrestar las medidas de mitigación de Google, lo que sugiere que la empresa tecnológica está al tanto de la explotación activa de esta vulnerabilidad de día cero. Concretamente, Lumma implementó el uso de servidores proxy SOCKS para evadir las medidas de detección de abuso de Google y estableció comunicación cifrada entre el malware y el punto final MultiLogin.
Sin embargo, dado que Google no ha confirmado oficialmente el abuso del punto final MultiLogin, el estado actual de la explotación y los esfuerzos de mitigación permanecen inciertos en este momento.
Te podrá interesar leer: Ransomware Medusa: Una Amenaza Emergente
La aparición de malware que explota el servicio OAuth de Google para reactivar cookies y secuestrar cuentas es una amenaza significativa para la seguridad en línea. Es esencial que los usuarios estén conscientes de este tipo de ataques y tomen medidas proactivas para proteger sus datos personales y cuentas en línea. Mantener actualizado el software, gestionar las cookies, utilizar la autenticación de dos factores y estar informado son pasos clave para asegurar tu presencia digital.