Le malware voleur d’informations Lumma (alias « LummaC2 ») fait la promotion d’une nouvelle fonctionnalité qui permettrait aux cybercriminels de restaurer les cookies Google expirés, qui peuvent être utilisés pour pirater des comptes Google.
Les cookies de session sont des cookies Web spécifiques utilisés pour permettre à une session de navigation de se connecter automatiquement aux services d’un site Web. Comme ces cookies permettent à toute personne les possédant de se connecter au compte du propriétaire, ils ont généralement une durée de vie limitée pour des raisons de sécurité afin d’éviter toute utilisation abusive en cas de vol.
La restauration de ces cookies permettrait aux opérateurs Lumma d’obtenir un accès non autorisé à n’importe quel compte Google même après que le propriétaire légitime se soit déconnecté de son compte ou que sa session ait expiré.
Alon Gal de Hudson Rock a repéré pour la première fois un message sur le forum rédigé par les développeurs du voleur d’informations mettant en avant une mise à jour publiée le 14 novembre, revendiquant la « possibilité de restaurer les cookies morts à l’aide d’une clé à partir des fichiers de restauration (s’applique uniquement aux cookies de Google). »
Cette nouvelle fonctionnalité n’était disponible que pour les abonnés du forfait « Entreprise » le plus élevé, qui coûte aux cybercriminels 1 000 $/mois.
Le message du forum précise également que chaque clé peut être utilisée deux fois afin que la restauration des cookies ne puisse fonctionner qu’une seule fois. Cela suffirait encore à lancer des attaques catastrophiques contre des organisations qui, par ailleurs, suivent de bonnes pratiques de sécurité.
Cette nouvelle fonctionnalité prétendument introduite dans les versions récentes de Lumma n’a pas encore été vérifiée par les chercheurs en sécurité ou par Google, donc son fonctionnement ou non comme annoncé reste incertain.
Cependant, il convient de mentionner qu’un autre voleur, Rhadamanthys, a annoncé une fonctionnalité similaire dans une récente mise à jour, augmentant ainsi la probabilité que les auteurs de logiciels malveillants découvrent une faille de sécurité exploitable.
Breachtrace a contacté Google à plusieurs reprises pour demander un commentaire sur la possibilité que les auteurs de logiciels malveillants aient découvert une vulnérabilité dans les cookies de session, mais nous n’avons pas encore reçu de réponse.
Quelques jours après avoir contacté Google, les développeurs de Lumma ont publié une mise à jour qui prétend être un correctif supplémentaire pour contourner les nouvelles restrictions imposées par Google pour empêcher la restauration des cookies.
Breachtrace a également tenté d’en savoir plus sur le fonctionnement de la fonctionnalité et les faiblesses qu’elle exploite directement auprès de Lumma. Cependant, un « agent de support » de l’opération malveillante a refusé de partager quoi que ce soit à ce sujet.
Interrogé sur la fonctionnalité similaire ajoutée récemment par Rhadamantis, l’agent de Lumma nous a déclaré que ses concurrents avaient négligemment copié la fonctionnalité de leur voleur.
Si les voleurs d’informations peuvent effectivement restaurer les cookies Google expirés comme annoncé, les utilisateurs ne peuvent rien faire pour protéger leurs comptes jusqu’à ce que Google propose un correctif en plus d’empêcher l’infection par un logiciel malveillant qui conduit au vol de ces cookies.
Les précautions consistent notamment à éviter de télécharger des fichiers torrent et des exécutables à partir de sites Web douteux et à ignorer les résultats promus dans la recherche Google.