谷歌：恶意软件滥用API是标准的令牌盗窃，而不是API问题

谷歌正在淡化有关恶意软件滥用未记录的 Google Chrome API 在先前被盗的 cookie 过期时生成新的身份验证 cookie 的报道。

2023 年 11 月下旬，BleepingComputer 报告了两个名为 Lumma 和 Rhadamanthys 的信息窃取恶意软件操作，声称它们可以 恢复在攻击中窃取的过期 Google 身份验证 cookie  。

然后，这些 cookie 可能会被加载到威胁行为者的浏览器中，以访问受感染用户的 Google 帐户。

此后，其他四个信息窃取者也采用了相同的技术，包括 12 月 1 日的 Stealc、12 月 11 日的 Medusa、12 月 12 日的 RisePro 和 12 月 26 日的 Whitesnake。

上周，网络安全公司CloudSEK 透露，这些信息窃取恶意软件操作正在 滥用 Google OAuth“MultiLogin”API 端点， 以便在受害者最初窃取的 Google cookie 过期时生成新的、有效的身份验证 cookie。

据信，该 API 旨在通过接受帐户 ID 和身份验证登录令牌向量来同步不同 Google 服务之间的帐户。

BleepingComputer 试图从 Google 那里了解更多有关此 API 的信息，但没有成功，唯一的文档可以在Google Chrome 的源代码中找到 。

CloudSEK 研究员 Pavan Karthick 告诉 BleepingComputer，滥用此功能的信息窃取恶意软件现在将从 Google Chrome 窃取多个令牌。

这些令牌包括 Google 站点的任何身份验证 cookie 以及可用于刷新或生成新身份验证令牌的特殊令牌。

由于常规身份验证 cookie 在一定时间后就会过期，因此威胁行为者最终将无法使用它们。

但是，只要用户没有注销 Google Chrome 或撤销与其帐户关联的所有会话，威胁参与者就可以在先前的身份验证令牌过期时使用此特殊的“刷新”令牌生成全新的身份验证令牌。

这些新令牌使他们能够继续访问帐户的时间远远超过通常允许的时间。

不仅仅是标准的 cookie 盗窃

不幸的是，Google 认为这种 API 滥用只是普通的、基于恶意软件的 cookie 盗窃行为。

谷歌在上周的一份声明中告诉 BleepingComputer：“谷歌注意到最近有关恶意软件家族窃取会话令牌的报道。”

“涉及窃取 cookie 和令牌的恶意软件的攻击并不新鲜；我们会定期升级针对此类技术的防御措施，并保护成为恶意软件受害者的用户。在这种情况下，谷歌已采取行动来保护检测到的任何受损帐户。”

然而，熟悉此问题的消息人士告诉 BleepingComputer，谷歌认为该 API 正在按预期工作，并且恶意软件没有利用任何漏洞。

Google 对此问题的解决方案只是让用户从受影响的设备上注销 Chrome 浏览器，或者通过 g.co/mydevices终止所有活动会话。这样做将使刷新令牌无效并使其无法与 API 一起使用。

由于信息窃取恶意软件窃取了您的凭据，您还应该谨慎更改您的 Google 密码，尤其是当您在其他网站使用相同的凭据时。

谷歌进一步建议：“与此同时，用户应不断采取措施从计算机中删除任何恶意软件，我们建议在 Chrome 中打开增强安全浏览功能，以防止网络钓鱼和恶意软件下载。”

虽然这些建议的步骤将减轻信息窃取恶意软件感染的影响，但大多数感染此类恶意软件的人不知道何时执行这些步骤。

当人们感染信息窃取恶意软件时，他们通常不知道，直到他们的帐户在未经许可的情况下被访问并以某种可检测的方式被滥用。

例如，该国第二大移动电话提供商 Orange España 的一名员工的密码被信息窃取恶意软件窃取。

然而，直到被盗凭证被用来登录该公司的 RIPE 帐户并 修改其 BGP 配置，导致 Orange 客户性能下降 50% 并导致互联网中断时，没有人知道这一点。

虽然谷歌表示他们已经发现了那些受到 API 滥用影响的人并通知了他们，但未来的受害者会发生什么？

此外，当用户甚至不知道自己被感染时，他们如何知道他们应该退出浏览器以使身份验证令牌失效。

因此，更好的解决方案是以某种方式限制对此 API 的访问，以防止恶意软件即服务操作的滥用。不幸的是，这似乎并没有发生。

BleepingComputer 已向 Google 询问他们有什么计划来缓解这种 API 滥用，但尚未收到对这些问题的答复。