Este nuevo malware se infiltra en Chrome y roba las cookies de inicio de sesión para secuestrar tu cuenta, tienen especial interés en las cookies caducadas para robar tu cuenta.
Hoy hablamos del método de restauración de cookies de Lumma Infostealer, un nuevo malware especializado en el robo de información, que está logrando acceder a las cuentas de los usuarios incluso después de que estos cambien sus contraseñas, aprovechando una interfaz no documentada de Google OAuth llamada “MultiLogin”. Esta vulnerabilidad se centra en una categoría específica de cookies de navegador conocidas como cookies de sesión, las cuales almacenan datos de autenticación, permitiendo a los usuarios iniciar sesión de manera instantánea en sitios web y servicios sin la necesidad de ingresar sus credenciales.
La amenaza por el momento solo afecta a la versión de PC que instala el malware capaz de extraer y decodificar los tokens de inicio de sesión almacenados en la base de datos local de Google Chrome. CloudSEK y Hudson Rock han identificado este nuevo tipo de ataque que además acaba de lanzar una actualización de su software para aprovechar esta vulnerabilidad.
El método de restauración de cookies de Lumma Infostealer funciona aprovechando una clave de los archivos de restauración, lo que permite la reactivación de las cookies de Google aparentemente caducadas. Al iniciar el proceso, la actualización envía una solicitud POST a “https://accounts.google.com/oauth/multilogin” con encabezados específicos, incluido un token de autorización MultiBearer obtenido de los archivos de restauración.
Esta solicitud desencadena una respuesta que contiene cookies en una estructura JSON, que el script analiza para extraer información relevante. A continuación, los datos extraídos se formatean en formato de archivo de cookies de Netscape, lo que facilita la creación de cookies de Google estables y persistentes.
Las cookies caducadas son la puerta de entrada
Lo preocupante radica en la capacidad de estas cookies para restaurar las cookies de Google que han caducado mediante el uso de una clave recién descubierta para consultar la API de Google. Esto permite a los actores malintencionados acceder a cuentas incluso después de que los usuarios hayan restablecido sus contraseñas, lo que representa un riesgo significativo para la seguridad.
El malware abusa de las URL para recuperar tokens e ID de cuenta de los perfiles de Chrome asociados a cuentas de Google. Los servicios (GAIA ID) y los tokens cifrados son elementos cruciales en los datos robados. La restauración de cookies caducadas a través de esta técnica puede llevarse a cabo sin que los usuarios se percaten de que están siendo objeto de amenazas, lo que amplifica la gravedad del problema.
Los actores de amenazas pueden utilizar este exploit repetidamente para acceder a cuentas, incluso después de que los usuarios hayan cambiado sus contraseñas. Nuestro consejo es que no hagas click en anuncios extraños a través de redes sociales y que extremes las precauciones usando un navegador seguro y huyendo de las webs que no te dan la posibilidad de bloquear las cookies.