恶意软件开发者表示他们可以恢复过期的谷歌身份验证cookie

2023年11月23日18:18:58评论6 views字数 1460阅读4分52秒阅读模式

更多全球网络安全资讯尽在邑安全

Lumma 信息窃取恶意软件（又名“LummaC2”）正在推广一项新功能，据称该功能允许网络犯罪分子恢复过期的 Google cookie，从而可用于劫持 Google 帐户。

会话 cookie 是特定的网络 cookie，用于允许浏览会话自动登录网站的服务。由于这些 cookie 允许拥有它们的任何人登录所有者的帐户，因此出于安全原因，它们的使用寿命通常有限，以防止被盗时被滥用。

恢复这些 cookie 将使 Lumma 操作员能够未经授权访问任何 Google 帐户，即使合法所有者已注销其帐户或会话已过期。

Hudson Rock 的 Alon Gal 首先发现了该信息窃取程序开发人员在论坛上发布的帖子，其中强调了 11 月 14 日发布的更新，声称“能够使用恢复文件中的密钥恢复已失效的 cookie（仅适用于 Google cookie）”。

这项新功能仅适用于最高级别“企业”计划的订阅者，该计划的费用为网络犯罪分子每月 1,000 美元。

该论坛帖子还澄清，每个密钥可以使用两次，因此 cookie 恢复只能进行一次。这仍然足以对遵循良好安全实践的组织发起灾难性攻击。

据称在最近的 Lumma 版本中引入的这一新功能尚未得到安全研究人员或谷歌的验证，因此它是否如宣传的那样工作仍不确定。

然而，值得一提的是，另一个窃取者 Rhadamanthys 在最近的更新中宣布了类似的功能，这增加了恶意软件作者发现可利用的安全漏洞的可能性。

BleepingComputer 已多次联系 Google，请求就恶意软件作者发现会话 cookie 中的漏洞的可能性发表评论，但我们尚未收到回复。

在联系 Google 几天后，Lumma 的开发人员发布了一个更新，声称这是一个额外的修复程序，可以绕过 Google 新引入的防止 cookie 恢复的限制。

BleepingComputer 还尝试更多地了解该功能的工作原理以及它直接从 Lumma 那里利用的弱点。然而，该恶意软件操作的“支持代理”拒绝透露任何相关信息。

当被问及拉达曼蒂斯最近添加的类似功能时，Lumma 的经纪人告诉我们，他们的竞争对手不小心从他们的窃取者那里复制了该功能。

如果信息窃取者确实可以像宣传的那样恢复过期的 Google cookie，那么除了防止导致这些 cookie 被盗的恶意软件感染之外，在 Google 推出修复程序之前，用户无法采取任何措施来保护自己的帐户。

预防措施包括避免从可疑网站下载 torrent 文件和可执行文件，以及跳过 Google 搜索中的推荐结果。

原文来自:bleepingcomputer.com

原文链接:https://www.bleepingcomputer.com/news/security/malware-dev-says-they-can-revive-expired-google-auth-cookies/

欢迎收藏并分享朋友圈，让五邑人网络更安全

恶意软件开发者表示他们可以恢复过期的谷歌身份验证cookie

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

Orca Security利用生成式AI推出了云资产搜索工具