Malware trickst Passwortrücksetzung von Google-Konten aus
Eine kürzlich aufgetauchte Malware macht gezielt Gebrauch von einem bisher nicht offiziell dokumentierten Google OAuth-Zugangspunkt namens MultiLogin. Auf diese Weise kann sie die Sitzungen von Nutzern kapern und selbst dann noch auf Google-Dienste zugreifen, wenn das Passwort zurückgesetzt wurde.
Laut CloudSEK erlaubt diese schwerwiegende Sicherheitslücke, dass Sitzungen aufrechterhalten und Cookies erzeugt werden können. Dadurch könnten Angreifer auf nicht autorisierte Weise Zugang zu gültigen Sitzungen erhalten.
Die Methode wurde erstmals am 20. Oktober 2023 von einem Angreifer namens PRISMA in seinem Telegram-Kanal veröffentlicht. Seitdem wurde sie in verschiedene Malware-as-a-Service (MaaS)-Stealer-Familien wie Lumma, Rhadamanthys, Stealc, Meduza, RisePro und WhiteSnake integriert.
Der MultiLogin-Authentifizierungsendpunkt ist hauptsächlich dafür gedacht, Google-Konten übergreifend zu synchronisieren, insbesondere wenn sich Benutzer über ihre Profile im Chrome-Webbrowser anmelden.
Ein Reverse-Engineering des Lumma-Stealer-Codes hat ergeben, dass die Technik auf die Tabelle token_service von Chrome in WebData abzielt, um Token und Konto-IDs von angemeldeten Chrome-Profilen zu extrahieren“, so Sicherheitsforscher Pavan Karthick M. „Diese Tabelle enthält zwei wichtige Spalten: service (GAIA ID) und encrypted_token.“
Dieses Token:GAIA-ID-Paar wird dann mit dem MultiLogin-Endpunkt kombiniert, um Google-Authentifizierungs-Cookies zu regenerieren.
Nach dem Analysieren des Lumma-Stealer-Codes wurde festgestellt, dass die Methode darauf abzielt, Informationen aus der Tabelle namens „token_service“ im Chrome-Datenspeicher („WebData“) zu extrahieren. Diese Tabelle enthält Tokens und Konto-IDs von eingeloggten Chrome-Profilen“, erklärte der Sicherheitsforscher Pavan Karthick M. „In dieser Tabelle sind zwei wichtige Spalten zu finden: ’service‘ (GAIA ID) und ‚encrypted_token‘.“ Das Token:GAIA-ID-Paar wird dann mit dem MultiLogin-Endpunkt kombiniert, um Google-Authentifizierungs-Cookies neu zu erstellen.
Karthick führte Tests für drei verschiedene Szenarien der Token-Cookie-Erzeugung durch:
- Wenn der Nutzer im Browser eingeloggt ist, kann das Token beliebig oft verwendet werden.
- Wenn der Benutzer das Passwort ändert, jedoch weiterhin bei Google angemeldet bleibt, kann das Token nur einmal verwendet werden. Dies liegt daran, dass das Token bereits verwendet wurde, um den Benutzer eingeloggt zu lassen.
- Wenn der Nutzer sich im Browser ausloggt, wird das Token zurückgenommen und aus dem lokalen Speicher des Browsers gelöscht. Es wird jedoch wiederhergestellt, wenn sich der Nutzer erneut anmeldet.
Google hat bestätigt, dass diese Angriffsmethode existiert, aber darauf hingewiesen, dass Nutzer ihre gestohlenen Sitzungen widerrufen können, indem sie sich aus dem betroffenen Browser ausloggen: „Wir sind uns der aktuellen Berichte über eine Art von Schadsoftware bewusst, die Sitzungs-Token stiehlt“, sagte das Unternehmen. „Angriffe, bei denen Schadsoftware Cookies und Tokens klaut, sind nichts Neues für uns. Wir aktualisieren regelmäßig unsere Abwehrmechanismen, um Nutzer vor solchen Methoden zu schützen. In diesem speziellen Fall hat Google Maßnahmen ergriffen, um alle betroffenen Konten zu sichern.“
Das Unternehmen wies aber darauf hin, dass Berichte, welche besagen, gestohlene Tokens und Cookies könnten nicht widerrufen werden, nicht korrekt sind: „Tatsächlich können gestohlene Sitzungen durch einfaches Ausloggen aus dem betroffenen Browser oder über die Geräteverwaltung des Nutzers ungültig gemacht werden. Wir werden die Situation weiterhin überwachen und bei Bedarf Updates bereitstellen.“
Zusätzlich empfahl Google den Nutzern, Enhanced Safe Browsing in Chrome zu aktivieren, um sich vor Phishing-Attacken und dem Herunterladen von Schadsoftware zu schützen.
„Es ist ratsam, Passwörter zu ändern, damit die Bedrohungsakteure keine Passwort-Reset-Auth-Flows zur Wiederherstellung von Passwörtern nutzen können“, so Karthick. „Außerdem sollten Nutzer ihre Konten auf verdächtige Aktivitäten überprüfen, insbesondere auf Sitzungen von unbekannten IP-Adressen oder Standorten.“
Alon Gal, Mitbegründer und Technologiechef von Hudson Rock, der bereits Ende letzten Jahres Details über den Angriff veröffentlicht hatte, kommentierte: „Die Klarstellung von Google ist ein wichtiger Schritt für die Sicherheit der Nutzer. Dieser Vorfall beleuchtet jedoch einen raffinierten Angriff, der herkömmliche Sicherheitsmethoden in Frage stellen könnte. Während die Maßnahmen von Google hilfreich sind, zeigt der aktuelle Angriff die Notwendigkeit fortschrittlicherer Sicherheitslösungen, um den sich entwickelnden Cyber-Bedrohungen zu begegnen. Info-Stehler, wie sie von Cyberkriminellen heute oft verwendet werden, sind ein gutes Beispiel dafür.“