חדשות הסייבר לשבוע האחרון
נוזקות משתמשת בחולשה במנגנון Google MultiLogin כדי לשמר גישה אחרי איפוס סיסמה. נוזקות מסוג InfoStealer מנצלות נקודת קצה לא מתועדת של Google OAuth בשם MultiLogin כדי לגנוב סשנים של משתמשים ולשמור על גישה רציפה לשירותי Google גם לאחר איפוס סיסמה.
לפי CloudSEK, החולשה הקריטית מאפשרת לתוקפים להיאחז בחשבון וליצור עוגיות – cookies, ומאפשר לגורמים זדוניים לשמור על גישה להתחברות לגיטימית באופן לא מורשה. הטכניקה נחשפה לראשונה ב-20 לאוקטובר 2023 בערוץ הטלגרם של גורם זדוני בשם PRISMA. מאז הוא שולב במספר נוזקות מסוג service-a-as-malware (MaaS) ממשפחת ה sInfoStealer.
נקודת הקצה המדוברת – MultiLogin מיועדת בעיקר לסנכרון חשבונות Google בין שירותים כאשר משתמשים נכנסים לחשבונות שלהם בדפדפן האינטרנט Chrome (כלומר, פרופילים). הנדסה לאחור של הקוד של הנוזקה Lumma Stealer חשפה שהטכניקה מכוונת לטבלת ה-token_service של WebDataבדפדפן Chrome כדי לחלץ טוקנים ומזהי חשבון של פרופילי כרום מחוברים.
גוגל מודעת לדיווחים האחרונים על משפחת תוכנות זדוניות שגנבה טוקנים והכירה בקיומה של שיטת ההתקפה וסיפקה את ההמלצות הבאות:
- לשנות סיסמאות – כדי למנוע מגורמים זדוניים להשתמש במנגנון איפוס סיסמאות על מנת לשחזר סיסמאות.
- משתמשים יכולים לבטל את הסשנים הגנובים באמצאות יציאה מהדפדפן המותקף, כמו"כ ניתן לבטל את הסשן מרחוק דרך דף "המכשירים שלך" בהגדרות החשבון.
- לעקוב אחר פעילות החשבון לאיתור הפעלות חשודות שמקורן בכתובות IP ומיקומים לא מוכרים.
- הפעל הגנה משופרת בהגדרות גלישה בטוחה Chrome כדי להגן מפני נסיונות פישינג והורדת תוכנות זדוניות.
התקרית שופכת אור על ניצול מתוחכם שעשוי לקרוא תיגר על השיטות המסורתיות של אבטחת חשבונות. בעוד שהאמצעים של גוגל הם בעלי ערך, מצב זה מדגיש את הצורך בפתרונות אבטחה מתקדמים יותר כדי להתמודד עם איומי סייבר מתפתחים כמו במקרה של גנבי מידע שהם פופולריים מאוד בקרב פושעי סייבר בימינו.
