Bu tehlikeli kötü amaçlı yazılım, çerezleri canlandırarak Google Hesabınızı ele geçirebilir

02 Ocak 2024 23:34

ferit cem yilmaz

Google Açığı ile Kötü Amaçlı Yazılımların Ortağı Olma Riski

Google hizmetlerini etkileyen ve tehdit aktörlerine Google Hesaplarına erişim sağlamak için kullanılan ciddi bir açık, siber güvenlik şirketi CloudSEK tarafından ortaya çıkarıldı.

Ekim 2023’te tespit edilen açık, bir kurban şifresini sıfırladıktan sonra bile Google hizmetlerine sürekli erişim sağlıyor.

Kötü amaçlı yazılım Lumma, Rhadamanthys, Risepro, Meduza, Stealc ve White Snake gibi çeşitli kötü amaçlı yazılım gruplarına “hızla yayıldı”.

Google hesaplarını ele geçiren kötü amaçlı yazılım hızla yayılıyor

CloudSEK, istismarın token manipülasyonu yoluyla kalıcı Google çerezlerinin oluşturulmasına izin verdiğini ve bir tehdit aktörüne kurbanın hesabına sürekli erişim sağladığını söylüyor.

Güvenlik açığıyla ilgili bilgilerin Ekim ayında ortaya çıkmasından bu yana, tehdit aktörlerinin giderek artan bir listesi, Google hesaplarına erişmek için bu açığı bilgi hırsızlarına ve kötü amaçlı yazılımlarına dahil ediyor. Şu anda en az altı grup bu açığı kendi kötü amaçlı yazılımlarıyla aktif olarak kullanıyor.

CloudSEK’in analizi, Google Hesaplarını hizmetler arasında senkronize etmek ve kullanıcılara tutarlı bir kullanıcı deneyimi sunmak için tasarlanan Google OAuth uç noktası MultiLogin’in, tehdit aktörleri tarafından Google Hesaplarına girmek için kullanılan anahtarın bir parçası olduğunu doğrulamaktadır.

Tersine mühendislik, kötü amaçlı yazılımın Chrome profillerinden belirteçleri ve hesap kimliklerini çıkarmak için Chrome’un WebData’sının token_service tablosunu hedeflediğini ortaya çıkardı.

Tehdit aktörleri, çalınan bilgileri, sınırlı bir ömre sahip olacak şekilde tasarlanan oturum çerezlerini yeniden oluşturmak ve kurbanın hesabına erişimin kilidini açmak için kullanabilir.

Bleeping Computer’ın haberine göre, Lumma adlı bir grup, Google’ın hafifletmelerini etkisiz hale getirmek için istismarı çoktan güncelledi, bu da Google’ın istismardan zaten haberdar olduğunu gösteriyor. Görünüşe bakılırsa, Lumma şirketi alt etmiş durumda.