Een zorgwekkende onthulling is dat meerdere families van informatiestelende malware een ongedocumenteerd Google OAuth-eindpunt met de naam ‘MultiLogin’ misbruiken om verlopen authenticatiecookies nieuw leven in te blazen, waardoor ongeoorloofde toegang tot de Google-accounts van gebruikers wordt geboden. Sessiecookies, ontworpen om een beperkte levensduur te hebben, verlopen meestal, waardoor langdurige ongeautoriseerde toegang wordt voorkomen.
Bedreigingsactoren hebben echter een zero-day-exploit ontdekt waarmee ze verlopen Google-authenticatiecookies opnieuw kunnen genereren, zelfs nadat legitieme eigenaren hun wachtwoord opnieuw hebben ingesteld of zijn uitgelogd. Een bedreigingsacteur genaamd PRISMA maakte de exploit aanvankelijk bekend en deelde de methode voor het herstellen van verlopen cookies op Telegram.
CloudSEK-onderzoekers hebben de zaak verder onderzocht en onthulden dat de exploit gebruik maakt van het ‘MultiLogin’-eindpunt, bedoeld voor het synchroniseren van accounts tussen verschillende Google-services. Het misbruikte API-eindpunt, onderdeel van de Gaia Auth API, accepteert een vector van account-ID’s en auth-inlogtokens, waardoor bedreigingsactoren cruciale informatie kunnen extraheren voor permanente toegang.
Malware waaronder Lumma, Rhadamanthys, Stealc, Medusa en RisePro hebben de Google OAuth-eindpuntexploit al overgenomen
De zero-day-exploit werkt door tokens en account-ID’s te extraheren uit Chrome-profielen die zijn ingelogd op een Google-account. Gestolen informatie omvat service (GAIA ID) en gecodeerde_token. Met behulp van een coderingssleutel die is opgeslagen in het ‘Local State’-bestand van Chrome, decoderen bedreigingsactoren de gestolen tokens. Met deze gedecodeerde tokens, gekoppeld aan het MultiLogin-eindpunt, kunnen bedreigingsactoren verlopen Google Service-cookies opnieuw genereren. Het kan effectief persistente toegang tot gecompromitteerde accounts behouden.
Bedreigingsactoren kunnen de authenticatiecookie slechts één keer opnieuw genereren als een gebruiker zijn Google-wachtwoord opnieuw instelt. Ze kunnen het wachtwoord echter herhaaldelijk opnieuw genereren als het wachtwoord ongewijzigd blijft. Met name meerdere informatiestelende malware, waaronder Lumma, Rhadamanthys, Stealc, Medusa, RisePro en Whitesnake, hebben deze exploit overgenomen. Deze malwarevarianten claimen de mogelijkheid om Google-cookies opnieuw te genereren met behulp van het API-eindpunt. Het vormt een aanzienlijke bedreiging voor de veiligheid van gebruikersaccounts.
Ondanks dat de uitbuiting is onthuld en gedemonstreerd, heeft Google het misbruik van het MultiLogin-eindpunt niet officieel bevestigd. De situatie geeft aanleiding tot bezorgdheid over de omvang van de uitbuiting en het gebrek aan mitigatie-inspanningen. De acceptatie van de exploit door meerdere malwarefamilies benadrukt de dringende noodzaak voor Google om deze zero-day-kwetsbaarheid aan te pakken en te patchen. Hier is een korte demonstratie van het proces.
