Tvůrci malwaru Lumma (známého také jako LummaC2) ve svém příspěvku na fóru tvrdí, že vyvinuli novou funkci. Údajně kyberzločincům umožňuje obnovit prošlé soubory cookie od Google, které lze zneužít k únosu účtů.
"Session cookies", kterých se to týká, jsou specifické webové soubory cookie, které slouží k automatickému přihlášení ke službám webových stránek během prohlížení. A protože umožňují přihlášení k účtu Google komukoliv, kdo je vlastní, mají z bezpečnostních důvodů zpravidla omezenou životnost. Tím se zabraňuje jejich zneužití v případě odcizení.
Obnovením těchto souborů po jejich expiraci by zneužitím nové funkce útočníci mohli získat neoprávněný přístup k jakémukoliv účtu Google. A to i v případě, že se oprávněný uživatel ze svého účtu odhlásil nebo jeho relace vypršela.
Nová funkce pro kradení Google účtů vyjde na 1000 USD měsíčně
V příspěvku poskytovatele malwaru se také vysvětluje, že každý "klíč" pro obnovení již neplatných "session cookies" lze použít pouze pro jediný proces obnovení. I to ale stačí pro realizaci vážných útoků na společnosti a obcházení osvědčených bezpečnostních postupů.
Funkce byla údajně zavedena v nejnovějších verzích systému Lumma. Bezpečnostní výzkumníci ani Google zatím neověřili, zda tento útok funguje tak, jak bylo oznámeno.
Podobnou funkci oznámil v nedávné aktualizaci i další malware Rhadamanthys. To zvyšuje pravděpodobnost, že vývojáři malwaru objevili zneužitelnou zranitelnost.
K celé věci se Google zatím nevyjádřil
Pokud jsou zločinci skutečně schopni obnovit prošlé soubory session cookie, uživatelé Google účtů se nemají jak chránit, dokud Google nevydá opravu.
Jako preventivní opatření se doporučuje nestahovat torrentové soubory nebo soubory z pochybných webových stránek a ignorovat reklamní výsledky Google vyhledávání. V nich se mohou skrývat odkazy na stránky, kde hrozí riziko stažení škodlivého softwaru.
Zdroj: Bleeping Computer