El malware de robo de información aprovecha activamente un punto final no documentado de Google OAuth llamado MultiLogin para secuestrar sesiones de usuarios y permitir acceso continuo a los servicios de Google incluso después de restablecer la contraseña.
Según CloudSEK, la explotación crítica facilita la persistencia de sesiones y la generación de cookies, permitiendo a los actores de amenazas mantener acceso a una sesión válida de manera no autorizada.
La técnica fue revelada por un actor de amenazas llamado PRISMA el 20 de octubre de 2023, en su canal de Telegram, y desde entonces se ha incorporado a varias familias de malware como servicio (MaaS), como Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake.
El punto final de autenticación MultiLogin está diseñado principalmente para sincronizar cuentas de Google entre servicios cuando los usuarios inician sesión en sus cuentas en el navegador web Chrome (es decir, perfiles).
Una ingeniería inversa del código de Lumma Stealer reveló que la técnica se centra en «la tabla token_service de WebData de Chrome para extraer tokens e IDs de cuenta de perfiles de Chrome conectados», según el investigador de seguridad Pavan Karthick M. «Esta tabla contiene dos columnas cruciales: service (ID GAIA) y encrypted_token.»
Este par token: ID GAIA se combina luego con el punto final MultiLogin para regenerar cookies de autenticación de Google.
Karthick informó a The Hacker News que se probaron tres escenarios diferentes de generación de token-cookie:
Cuando el usuario está conectado con el navegador, en cuyo caso el token se puede usar cualquier cantidad de veces. Cuando el usuario cambia la contraseña pero deja que Google permanezca conectado, en cuyo caso el token solo se puede usar una vez, ya que el token ya se usó para mantener al usuario conectado. Si el usuario cierra sesión en el navegador, el token se revocará y eliminará del almacenamiento local del navegador, y se regenerará al iniciar sesión nuevamente.
Ante la solicitud de comentarios, Google reconoció la existencia del método de ataque, pero señaló que los usuarios pueden revocar las sesiones robadas cerrando sesión en el navegador afectado.
«Google está al tanto de informes recientes sobre una familia de malware que roba tokens de sesión», dijo la empresa a The Hacker News. «Los ataques que involucran malware que roba cookies y tokens no son nuevos; regularmente mejoramos nuestras defensas contra tales técnicas y para proteger a los usuarios que son víctimas de malware. En este caso, Google ha tomado medidas para asegurar cualquier cuenta comprometida detectada.»
«Sin embargo, es importante señalar un error en informes que sugiere que los tokens y cookies robados no pueden ser revocados por el usuario», agregó. «Esto es incorrecto, ya que las sesiones robadas se pueden invalidar simplemente cerrando sesión en el navegador afectado, o revocándolas de forma remota a través de la página de dispositivos del usuario. Continuaremos monitoreando la situación y proporcionaremos actualizaciones según sea necesario.»
La empresa también recomendó a los usuarios activar la Navegación Segura Mejorada en Chrome para protegerse contra phishing y descargas de malware.
«Se recomienda cambiar las contraseñas para que los actores de amenazas no utilicen flujos de restablecimiento de contraseña para restaurar contraseñas», dijo Karthick. «Además, se aconseja a los usuarios que monitoreen la actividad de su cuenta en busca de sesiones sospechosas que provengan de IPs y ubicaciones que no reconozcan.»
«La aclaración de Google es un aspecto importante de la seguridad del usuario», dijo Alon Gal, cofundador y director de tecnología de Hudson Rock, quien reveló detalles de la explotación a finales del año pasado. «Sin embargo, el incidente destaca una explotación sofisticada que puede desafiar los métodos tradicionales de seguridad de cuentas. Aunque las medidas de Google son valiosas, esta situación destaca la necesidad de soluciones de seguridad más avanzadas para contrarrestar amenazas cibernéticas en evolución, como en el caso de los infostealers, que son tremendamente populares entre los ciberdelincuentes en la actualidad.»
es una abreviatura de «software malicioso» (del inglés, malicious software). Se refiere a cualquier tipo de software diseñado con intenciones maliciosas para dañar, acceder sin autorización o explotar sistemas informáticos, redes o dispositivos. El término «malware» abarca una variedad de amenazas informáticas, incluyendo virus, gusanos, troyanos, spyware, adware, ransomware y otros tipos de programas perjudiciales.
Estos programas maliciosos están destinados a comprometer la seguridad de los sistemas informáticos, robar información confidencial, interrumpir el funcionamiento normal de los dispositivos, realizar actividades fraudulentas o causar daño en general. El malware se propaga comúnmente a través de descargas de software no confiable, correos electrónicos de phishing, sitios web maliciosos, dispositivos USB infectados y otras formas de interacción digital no segura.
La detección y eliminación de malware son tareas fundamentales en ciberseguridad, y se utilizan programas antivirus y otras herramientas de seguridad para proteger los sistemas contra estas amenazas. Además, las prácticas seguras en línea, como mantener el software actualizado y ser cauteloso al hacer clic en enlaces o descargar archivos, son importantes para prevenir infecciones por malware.
CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
