Google minimizza le segnalazioni di malware che abusano di un’API non documentata di Google Chrome per generare nuovi cookie di autenticazione quando quelli precedentemente rubati sono scaduti.
A fine novembre 2023, BleepingComputer ha scoperto due operazioni di malware per il furto di informazioni, denominate Lumma e Rhadamanthys, che sostenevano di poter ripristinare i cookie di autenticazione di Google scaduti e rubati durante gli attacchi.
Questi cookie potrebbero quindi essere caricati nei browser degli attori delle minacce per ottenere l’accesso agli account Google di un utente infetto.
“La scoperta da parte dell’azienda CloudSEK della modalità con la quale un exploit integrato in diversi malware riesce a compromettere gli account di ignari utenti”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è preoccupante soprattutto per la rapida diffusione dello stesso nell’underground criminale. Parliamo di un endpoint OAuth di Google non documentato e denominato MultiLogin”.
Il motore di ricerca rassicura che il malware che abusa delle API è un furto di token standard e non un problema di API.
Ecco cosa sappiamo.
Indice degli argomenti
Google: rassicura sul malware che abusa delle API
Da allora altri quattro information stealer hanno adottato la stessa tecnica, tra cui Stealc il 1° dicembre, Medusa l’11 dicembre, RisePro il 12 dicembre e Whitesnake il 26 dicembre.
La scorsa settimana, la società di cybersicurezza CloudSEK ha rivelato che queste operazioni di malware per il furto di informazioni stanno abusando di un endpoint API “MultiLogin” di Google OAuth per generare nuovi cookie di autenticazione funzionanti quando i cookie originali di Google rubati dalle vittime scadono.
“La scoperta di un end point non documentato apre a scenari preoccupanti, innanzitutto perché la non conoscenza pubblica del meccanismo ne impedisce la difesa di attacchi condotti con l’exploit citato. Solo l’azienda che lo ha sviluppato è in grado di prevedere abusi dell’endpoint ed è sua responsabilità evitare che avvengano”, spiega Paganini.
Si ritiene che questa API sia stata progettata per sincronizzare gli account tra diversi servizi Google accettando un vettore di ID account e token di autenticazione.
“Ad aggravare la situazione”, continua Paganini, “è il fatto che l’endpoint MultiLogin è parte del meccanismo interno che consente la sincronizzazione degli account Google tra servizi. Questo endpoint inoltre consente la creazione di nuovi token di autenticazione e di aggiornare persino quelli scaduti con ovvie ripercussioni sui meccanismi di sicurezza”.
I tentativi di BleepingComputer di ottenere maggiori informazioni su questa API da Google non hanno inoltre avuto successo e l’unica documentazione si trova nel codice sorgente di Google Chrome
La scoperta di CloudSEK
Il ricercatore di CloudSEK Pavan Karthick ha dichiarato a BleepingComputer che il malware che ruba le informazioni abusando di questa funzione ora ruberà più token da Google Chrome.
Questi token includono tutti i cookie di autenticazione per i siti Google e un token speciale che può essere utilizzato per aggiornare, o generare, nuovi token di autenticazione.
Poiché i normali cookie di autenticazione scadono dopo un certo periodo di tempo, alla fine diventano inutilizzabili per l’attore della minaccia.
Tuttavia, finché l’utente non si è disconnesso da Google Chrome o non ha revocato tutte le sessioni associate ai suoi account, gli attori delle minacce possono utilizzare questo speciale token “Refresh” per generare nuovi token di autenticazione quando i precedenti sono scaduti.
Questi nuovi token consentono loro di continuare ad accedere agli account per un periodo di tempo molto più lungo di quello normalmente consentito.
Come proteggersi
Purtroppo, Google considera questo abuso di API come un normale furto di cookie basato su malware. “Google è a conoscenza delle recenti segnalazioni di una famiglia di malware che ruba i token di sessione”, ha dichiarato il motore di ricerca la scorsa settimana a BleepingComputer.
“Gli attacchi che coinvolgono malware che rubano cookie e token non sono nuovi; aggiorniamo regolarmente le nostre difese contro queste tecniche e per proteggere gli utenti che cadono vittime di malware. In questo caso, Google ha preso provvedimenti per mettere in sicurezza tutti gli account compromessi individuati“.
Tuttavia, fonti che hanno familiarità con questo problema hanno dichiarato a BleepingComputer che Google ritiene che l’API funzioni come previsto e che nessuna vulnerabilità venga sfruttata dal malware.
La soluzione di Google a questo problema consiste semplicemente nel far uscire gli utenti dal browser Chrome dal dispositivo interessato o nel chiudere tutte le sessioni attive tramite g.co/mydevices. In questo modo si invalida il token Refresh e lo si rende inutilizzabile con l’API.
Infatti “ad oggi l’unica possibilità è quella di rendere invalidi i token di aggiornamento per l’utilizzo con l’EndPoint“, mette in guardia Paganini.
Le raccomandazioni: Google nel mirino di un malware che abusa delle API
Poiché il malware ha rubato le vostre credenziali, sarebbe necessario anche cambiare la vostra password di Google per prudenza, soprattutto se l’utentev ha la cattiva abitudine di usare le stesse credenziali in altri siti.
“Nel frattempo, gli utenti dovrebbero continuare a rimuovere qualsiasi malware dal proprio computer e si consiglia di attivare la funzione Enhanced Safe Browsing in Chrome per proteggersi dal phishing e dai download di malware“, raccomanda inoltre Google.
I dubbi aperti
Sebbene questi suggerimementi riducano l’impatto delle infezioni da malware che rubano informazioni, la maggior parte delle persone infettate da questo tipo di malware non saprà quando eseguire questi passaggi.
Quando le persone vengono infettate da malware che rubano informazioni, in genere non se ne accorgono finché i loro account non vengono acceduti senza autorizzazione e abusati in qualche modo rilevabile.
Per esempio, un dipendente di Orange España, il secondo provider di telefonia mobile iberico, ha subito il furto delle password da un info stealer. Tuttavia, nessuno se n’è accorto finché le credenziali sono state utilizzate per accedere all’account RIPE dell’azienda e modificare la configurazione BGP. Ciò ha causato un calo delle prestazioni del 50% e interruzioni di Internet per i clienti di Orange.
Sebbene Google affermi di aver individuato le persone colpite da questo abuso di API e di averle informate, ci si domanda cosa succederà alle vittime future.
Inoltre, ci si chiede come faranno gli utenti a sapere che devono uscire dal browser per invalidare i token di autenticazione senza sapere nemmeno dell’infezione.
Per questo motivo, una soluzione migliore sarebbe quella di limitare l’accesso a questa API in qualche modo da evitare abusi da parte delle operazioni di malware-as-a-service. Purtroppo, non sembra che ciò stia accadendo. BleepingComputer ha chiesto a Google quali piani abbia per mitigare l’abuso di questa API, ma non ha ricevuto risposta.
“Il caso pone forti dubbi sull’implementazione di funzioni e meccanismi di sicurezza che non documentati sono comunque individuabili da attori malevoli attraverso il reverse engineering del codice sorgente dell’applicazione presa di mira“, conclude Paganini: “I processi di reverse engineering sono frequenti soprattutto da parte di attori molto motivati o addirittura nation-state actor, per questo motivo la soluzione di non documentare porzioni di codice e funzioni è tutt’altro che auspicabile“.
