Plusieurs familles de logiciels malveillants voleurs d’informations abusent d’un point de terminaison Google OAuth non documenté nommé « MultiLogin » pour restaurer les cookies d’authentification expirés et se connecter aux comptes des utilisateurs, même si le mot de passe d’un compte a été réinitialisé.

Les cookies de session sont un type spécial de cookie de navigateur qui contient des informations d’authentification, permettant à une personne de se connecter automatiquement aux sites Web et aux services sans entrer ses informations d’identification.

Ces types de cookies sont censés avoir une durée de vie limitée, de sorte qu’ils ne peuvent pas être utilisés indéfiniment par les acteurs de la menace pour se connecter à des comptes s’ils sont volés.

Fin novembre 2023, Breachtrace a signalé deux voleurs d’informations, à savoir Lumma et Rhadamanthys, qui ont affirmé qu’ils pouvaient restaurer les cookies d’authentification Google expirés volés lors d’attaques.

Ces cookies permettraient aux cybercriminels d’obtenir un accès non autorisé aux comptes Google même après que les propriétaires légitimes se sont déconnectés, ont réinitialisé leurs mots de passe ou que leur session a expiré.

Breachtrace a contacté Google à plusieurs reprises au cours d’un mois pour lui poser des questions sur ces réclamations et sur la manière dont ils prévoyaient d’atténuer le problème, mais nous n’avons jamais reçu de réponse.

Exploitation du point de terminaison Google OAuth
Un rapport publié aujourd’hui par des chercheurs de CloudSEK jette plus de lumière sur le fonctionnement de cet exploit zero-day et brosse un tableau désastreux de l’ampleur de son exploitation.

L’exploit a été révélé pour la première fois par un acteur de la menace nommé PRISMA le 20 octobre 2023, qui a publié sur Telegram qu’il avait découvert un moyen de restaurer les cookies d’authentification Google expirés.

Après avoir procédé à une ingénierie inverse de l’exploit, CloudSEK a découvert qu’il utilisait un point de terminaison Google OAuth non documenté nommé « MultiLogin », qui est destiné à synchroniser les comptes entre différents services Google en acceptant un vecteur d’identifiants de compte et de jetons de connexion d’authentification.

« Cette demande est utilisée pour définir des comptes chrome dans le navigateur dans les cookies d’authentification Google pour plusieurs sites Web Google (par exemple youtube) », explique une description du point de terminaison de l’API dans le code source de Google Chrome.

« Cette demande fait partie de l’API d’authentification Gaia et est déclenchée chaque fois que les comptes dans les cookies ne sont pas cohérents avec les comptes dans le navigateur », explique en outre une variable du code source.

CloudSEK indique que les logiciels malveillants voleurs d’informations qui abusent de ce point de terminaison extraient les jetons et les identifiants de compte des profils Chrome connectés à un compte Google. Ces informations volées contiennent deux données cruciales: le service (GAIA ID) et encrypted_token.

Les jetons cryptés sont décryptés à l’aide d’un cryptage stocké dans le fichier « État local » de Chrome. Cette même clé de chiffrement est également utilisée pour déchiffrer les mots de passe enregistrés dans le navigateur.

En utilisant le jeton volé: GAIA s’associe au point de terminaison MultiLogin, les auteurs de la menace peuvent régénérer les cookies de service Google expirés et maintenir un accès persistant sur les comptes compromis.

Utilisation d’un jeton: les paires GAIA lisent à partir d’un fichier texte pour générer des demandes de connexion multiple

Lors d’une discussion avec Pavan Karthick, chercheur chez CloudSek, Breachtrace a appris qu’ils avaient procédé à une ingénierie inverse de l’exploit et qu’ils pouvaient l’utiliser pour régénérer les cookies d’authentification Google expirés, comme indiqué ci-dessous.

Régénération réussie des cookies après réinitialisation du mot de passe

Cependant, Karthick a expliqué que le cookie d’authentification ne peut être régénéré qu’une seule fois si un utilisateur réinitialise son mot de passe Google. Sinon, il peut être régénéré plusieurs fois, fournissant un accès persistant au compte.

Les développeurs de logiciels malveillants se précipitent pour ajouter un exploit
Lumma stealer a adopté l’exploit pour la première fois le 14 novembre, dont les développeurs ont appliqué des techniques de blackboxing telles que le cryptage de la paire token:GAIA avec des clés privées pour masquer le mécanisme des concurrents et empêcher la réplication de la fonctionnalité.

Pourtant, d’autres ont pu copier la fonctionnalité ou incorporer l’exploit de PRISMA dans leurs voleurs, Rhadamanthys étant le premier à suivre le 17 novembre.

Depuis lors, de nombreux autres voleurs d’informations ont adopté l’exploit, notamment Stealc le 1er décembre, Medusa le 11 décembre, RisePro le 12 décembre et Whitesnake le 26 décembre.

Ainsi, au moins six voleurs d’informations revendiquent actuellement la possibilité de régénérer les cookies Google à l’aide de ce point de terminaison d’API.

La société de renseignement sur les menaces Hudson Rock a également publié la vidéo suivante sur YouTube, où un cybercriminel montre comment fonctionne l’exploit de restauration des cookies.

Une version ultérieure de Lumma a mis à jour l’exploit pour contrer les atténuations de Google, suggérant que le géant de la technologie est au courant de la faille zero-day activement exploitée.

Plus précisément, Lumma s’est tourné vers l’utilisation de proxys SOCKS pour échapper aux mesures de détection des abus de Google et a mis en œuvre une communication cryptée entre le logiciel malveillant et le point de terminaison MultiLogin.

Cependant, comme Google n’a pas confirmé l’abus du point de terminaison de connexion multiple, le statut de l’exploitation et ses efforts d’atténuation restent flous pour le moment.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *