Publicidade

Vírus pode “reviver” cookies para invadir contas do Google

Por| Editado por Wallace Moté | 02 de Janeiro de 2024 às 16h52

Link copiado!

Thomas Lefebvre/Unsplash
Thomas Lefebvre/Unsplash

Uma técnica de exploração que está nas mãos de pelo menos seis quadrilhas cibercriminosas permite “reviver” cookies de acesso a contas do Google, possibilitando a invasão mesmo após a troca de senhas pelo usuário. Os ataques estão acontecendo, pelo menos, desde outubro do ano passado e envolveriam uma vulnerabilidade zero day nos sistemas da gigante.

No centro dos ataques está um sistema do Google chamado MultiLogin, que permite o uso do perfil nos serviços da empresa para logar em diferentes plataformas. Em sistemas infectados, os bandidos são capazes de realizar a engenharia reversa de elementos específicos desse recurso, obtendo tokens de acesso e IDs de conta.

São estes os dados usados para “recriação” do cookies de sessão, que são armazenados no computador após um login bem-sucedido. Eles facilitam a navegação, sem exibir que o usuário insira suas informações todas as vezes que tentar acessar um serviço; nas mãos de cibercriminosos, porém, servem para permitir a invasão das contas mesmo que a vítima altere suas senhas.

Continua após a publicidade

Os cookies de sessão têm validade limitada, mas como o malware é capaz de os recriar de forma sucessiva, o ataque também permite que os criminosos mantenham o acesso às contas comprometidas. Má notícia para usuários finais, mas principalmente para contas corporativas, por onde dados sigilosos podem ser obtidos de forma direta.

Medidas de segurança não teriam funcionado

As informações são da CloudSEK, empresa especializada em segurança digital, e indicam que até mesmo medidas tomadas pelo Google para conter os ataques foram ultrapassadas pelos cibercriminosos. A partir de um vírus ladrão de arquivos disponibilizado sob serviço pelo grupo Lumma, outras quadrilhas conhecidas, como Rhadamanthys, White Snake e Meduza também aplicam o método a suas ferramentas de exploração.

O Canaltech está no WhasApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Acima disso, os bandidos responsáveis pela exploração inicial estariam adotando mecanismos avançados de ofuscação para que nem mesmo o método usado nos ataques seja descoberto. Assim, eles garantem maior eficácia nos golpes, na medida em que especialistas em segurança não são capazes de localizar facilmente como os dados são desviados.

Enquanto o relatório da CloudSEK não aponta exatamente o vetor usado para disseminação do vírus ladrão de dados, anúncios em mecanismos de busca, mensagens e e-mails de phishing costumam ser os meios preferidos dos bandidos. Como sempre, o ideal é manter o olho vivo, principalmente na hora de baixar arquivos anexos ou softwares fora dos sites oficiais de desenvolvedores.

Fonte: CloudSEK