Een informatiestelende malware genaamd “Lumma” of “Lumma Stealer” heeft onlangs een nieuwe functie geïntroduceerd die beweert verlopen Google-authenticatiecookies te kunnen herstellen. Lumma werd voor het eerst ontdekt in 2022 en werkt als malware-as-a-service. Lumma Stealer maakt gebruik van een op abonnementen gebaseerd plan waarbij bedreigingsactoren de malware kunnen huren en distribueren. In de meest recente update hebben Lumma Corporate-leden die $ 1000 USD per maand betalen nu de mogelijkheid om verlopen Google-authenticatiecookies te herstellen. Als een bedreigingsacteur toegang krijgt tot deze cookies, kan hij zich voordoen als de gebruiker die aan het account is gekoppeld en de standaard inlogprocedures omzeilen.
Google-authenticatie-/sessiecookies zijn kleine stukjes gegevens die op het apparaat van een gebruiker worden opgeslagen en die informatie bevatten over de inlogsessie. Deze cookies zijn cruciaal voor het behouden van gebruikersauthenticatie, waardoor gebruikers ingelogd kunnen blijven op verschillende pagina’s of sessies. Cookies omvatten verschillende Google-services en reiken verder dan alleen Gmail-accounts. Bedreigingsactoren die geldige sessiecookies verkrijgen, kunnen het Google-account van een slachtoffer effectief kapen. Cookies hebben een vervaldatum als veiligheidsmaatregel die is ontworpen om de kansen voor aanvallers te beperken. De combinatie van vervaldata en verschillende beveiligingsmechanismen maakt het voor bedreigingsactoren een uitdaging om deze met succes te exploiteren.
Alon Gal, de CTO van Hudson Rock, ontdekte voor het eerst de Lumma-update die beweert cookies nieuw leven in te blazen. De update geeft aan dat het niet-vervalbare Google-cookies van geïnfecteerde apparaten kan extraheren, zelfs als de eigenaar wachtwoorden wijzigt. Lumma-ontwikkelaars beweren dat dit “misschien wel de grootste update is sinds de opening van het project.” Opvallend is dat een andere informatiestelende malware, Rhadamanthys genaamd, onlangs een vergelijkbare mogelijkheid heeft aangekondigd. Toen Bleeping Computer hierover vroeg, beweerde een Lumma-agent dat de functie gekopieerd was van Lumma Stealer.
Lumma’s nieuwste update claimt verlopen Google-authenticatiecookies nieuw leven in te blazen
De mogelijkheden van Lumma Stealer moeten nog worden geverifieerd door Google of beveiligingsonderzoekers. Zoals Lumma beweert, is de mogelijkheid om “dode cookies te herstellen met behulp van een sleutel uit herstelbestanden (alleen van toepassing op Google-cookies)” nogal beangstigend. Google, zich schijnbaar bewust van de dreiging, bracht een update uit die enkele beperkingen voor tokens oplegde. Daarom reageerde Lumma met een update die ‘Google-logboeken repareerde’.
Het stelen van sessiecookies van Google brengt een heleboel problemen met zich mee. Bedreigingsactoren krijgen directe toegang tot Google-accounts, waardoor ze een reeks gevoelige informatie kunnen misbruiken. Bovendien kan een aanvaller zich voordoen als het slachtoffer, de inlogprocedures omzeilen en controle krijgen over zijn e-mail, documenten, contacten en andere persoonlijke instellingen. Ze kunnen namens het slachtoffer e-mails of berichten sturen en mogelijk andere gekoppelde accounts in gevaar brengen als het slachtoffer zijn Google-inloggegevens voor meerdere services gebruikt. Dus ja, dit is een ernstige bedreiging.
