El Universo .- La vulnerabilidad fue publicada en Telegram.
Según CloudSEK, el exploit (programa o código que se aprovecha de una vulnerabilidad) facilita la persistencia de la sesión y la generación de cookies, lo que permite mantener el acceso a una sesión válida de forma no autorizada. Esto le permite a los atacantes instalar malware en equipos para “extraer y descifrar tokens de inicio de sesión almacenados en la base de datos local de Chrome”.
La técnica fue revelada por primera vez por un atacante llamado PRISMA el 20 de octubre de 2023 en su canal de Telegram. Desde entonces, se ha incorporado a varias familias de ladrones de malware como servicio (MaaS), Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake.
El punto final de autenticación MultiLogin está diseñado principalmente para sincronizar cuentas de Google entre servicios cuando los usuarios inician sesión en sus cuentas en el navegador web Chrome (es decir, perfiles). El problema es que los atacantes pueden realizar este mismo proceso en repetidas ocasiones, incluso aunque el usuario cambie la contraseña de su cuenta de Google.
La compañía aún no ha arreglado el daño, pero está trabajando para solucionar el problema, que fue descubierto por primera vez el pasado mes de octubre, cuando todo fue publicado en Telegram.
“Google está al tanto de informes recientes sobre una familia de malware que roba tokens de sesión”, dijo la compañía a The Hacker News. “Los ataques que involucran malware que roba cookies y tokens no son nuevos; actualizamos rutinariamente nuestras defensas contra tales técnicas y para proteger a los usuarios que son víctimas del malware. En este caso, Google ha tomado medidas para proteger cualquier cuenta comprometida detectada”.