Google minimise les rapports de logiciels malveillants abusant d’une API Google Chrome non documentée pour générer de nouveaux cookies d’authentification lorsque ceux précédemment volés ont expiré.
Fin novembre 2023, Breachtrace a signalé deux opérations malveillantes de vol d’informations nommées Lumma et Rhadamanthys, affirmant qu’elles pouvaient restaurer les cookies d’authentification Google expirés volés lors d’attaques.
Ces cookies pourraient ensuite être chargés dans les navigateurs des acteurs de la menace pour accéder aux comptes Google d’un utilisateur infecté.
Depuis lors, quatre autres voleurs d’informations ont adopté la même technique, dont Stealc le 1er décembre, Medusa le 11 décembre, RisePro le 12 décembre et Whitesnake le 26 décembre.
La semaine dernière, la société de cybersécurité CloudSEK a révélé que ces opérations malveillantes de vol d’informations abusent d’un point de terminaison d’API Google OAuth « MultiLogin » pour générer de nouveaux cookies d’authentification fonctionnels lorsque les cookies Google volés d’origine d’une victime expirent.
On pense que cette API est conçue pour synchroniser les comptes entre différents services Google en acceptant un vecteur d’identifiants de compte et de jetons de connexion d’authentification.
Les tentatives de Breachtrace pour en savoir plus sur cette API auprès de Google ont échoué, et la seule documentation se trouve dans le code source de Google Chrome.
Pavan Karthick, chercheur chez CloudSEK, a déclaré à Breachtrace que les logiciels malveillants voleurs d’informations abusant de cette fonctionnalité voleront désormais plusieurs jetons de Google Chrome.
Ces jetons incluent tous les cookies d’authentification pour les sites Google et un jeton spécial qui peut être utilisé pour actualiser ou générer de nouveaux jetons d’authentification.
Comme les cookies d’authentification réguliers expirent après un certain laps de temps, ils finissent par devenir inutilisables pour l’auteur de la menace.
Cependant, tant que l’utilisateur ne s’est pas déconnecté de Google Chrome ou n’a pas révoqué toutes les sessions associées à ses comptes, les acteurs de la menace peuvent utiliser ce jeton spécial « d’actualisation » pour générer de nouveaux jetons d’authentification lorsque les précédents ont expiré.
Ces nouveaux jetons leur permettent de continuer à accéder aux comptes bien plus longtemps que ce qui serait habituellement autorisé.
Pas seulement votre vol de cookies standard
Malheureusement, Google considère cet abus d’API comme un simple vol de cookies basé sur des logiciels malveillants de type jardin.
« Google est au courant de récents rapports faisant état d’une famille de logiciels malveillants volant des jetons de session », a déclaré Google à Breachtrace dans un communiqué la semaine dernière.
« Les attaques impliquant des logiciels malveillants qui volent des cookies et des jetons ne sont pas nouvelles; nous améliorons régulièrement nos défenses contre de telles techniques et pour sécuriser les utilisateurs victimes de logiciels malveillants. Dans ce cas, Google a pris des mesures pour sécuriser tous les comptes compromis détectés. »
Cependant, des sources familières avec ce problème ont déclaré à Breachtrace que Google pense que l’API fonctionne comme prévu et qu’aucune vulnérabilité n’est exploitée par le logiciel malveillant.
La solution de Google à ce problème consiste simplement à demander aux utilisateurs de se déconnecter de leur navigateur Chrome à partir de l’appareil concerné ou de tuer toutes les sessions actives via g.co/mydevices. Cela invalidera le jeton d’actualisation et le rendra inutilisable avec l’API.
Comme le malware voleur d’informations a volé vos informations d’identification, vous devez également modifier votre mot de passe Google par prudence, en particulier si vous utilisez les mêmes informations d’identification sur d’autres sites.
« En attendant, les utilisateurs doivent continuellement prendre des mesures pour supprimer tout logiciel malveillant de leur ordinateur, et nous vous recommandons d’activer la navigation sécurisée améliorée dans Chrome pour vous protéger contre le phishing et les téléchargements de logiciels malveillants », recommande en outre Google.
Bien que ces étapes recommandées atténueront l’impact des infections par des logiciels malveillants volant des informations, la plupart des personnes infectées par ce type de logiciel malveillant ne sauront pas quand effectuer ces étapes.
Lorsque des personnes sont infectées par des logiciels malveillants voleurs d’informations, elles ne le savent généralement pas jusqu’à ce que leurs comptes soient consultés sans autorisation et abusés d’une manière détectable.
Par exemple, un employé d’Orange España, le deuxième opérateur de téléphonie mobile du pays, s’est fait voler ses mots de passe par un logiciel malveillant voleur d’informations.
Cependant, personne ne le savait jusqu’à ce que des informations d’identification volées soient utilisées pour se connecter au compte RIPE de l’entreprise et modifier leur configuration BGP, entraînant une baisse des performances de 50% et des pannes Internet pour les clients Orange.
Alors que Google dit avoir détecté ceux qui ont été touchés par cet abus d’API et les a notifiés, que se passe-t-il pour les futures victimes?
De plus, comment les utilisateurs sauront-ils qu’ils doivent se déconnecter de leur navigateur pour invalider les jetons d’authentification alors qu’ils ne savent même pas qu’ils ont été infectés en premier lieu.
Pour cette raison, une meilleure solution consisterait à restreindre l’accès à cette API d’une manière ou d’une autre pour éviter les abus des opérations de logiciels malveillants en tant que service. Malheureusement, il ne semble pas que cela se produise.
Breachtrace a demandé à Google quels plans ils avaient pour atténuer cet abus d’API, mais n’a pas reçu de réponse à ces questions.