Malwares aproveitam uma vulnerabilidade no sistema de cookies de autenticação do Google Chrome para acessar contas indevidamente, mesmo após a troca de senhas. Pesquisadores do grupo CloudSEK revelaram detalhes sobre como o mecanismo funciona.
Segundo a análise do CloudSEK, o malware aproveita a saída "MultiLogin" do Google OAuth, um protocolo de autorização da empresa, para restaurar cookies de autenticação expirados e fazer login em contas. Normalmente, esse protocolo serve para sincronizar o login em diferentes serviços do Google.
A investigação aponta que o malware extrai tokens e os IDs da conta de perfis do Chrome logados em uma conta Google. Por meio dessa informação, o agente extrai GAIA ID e encrypted_token que, se usados contra o MultiLogin, podem restaurar cookies vencidos e comprometer as contas em questão.
Ao site BleepingComputer, o pesquisador do CloudSEK, Pavan Karthick, revelou que a equipe foi capaz de reproduzir a regeneração de cookies de autenticação por engenharia reversa.
Na prática, o malware permite acessar a conta mesmo se a vítima tiver alterado a senha. Isso permitiria que o alvo fosse invadido diversas vezes, sem nem ter ciência disso.
Não está claro, porém, se a ferramenta consegue superar métodos de autenticação de dois fatores.
De acordo com o BleepingComputer, vários grupos de malware já conhecem a vulnerabilidade e vendem malwares focados na brecha. A falha foi divulgada pela primeira vez em meados de novembro, então já há malwares avançados circulando por aí.
Por enquanto, o Google não se manifestou sobre o assunto. Porém, a dica para evitar invasões é não baixar aplicativos de fontes desconhecidas, já que podem conter malware.
Fontes
Categorias