Google OAuth identifica claves de “malware” que pueden

MADRID, 2 de enero (Portaltic/EP) – Un equipo de investigadores descubrió que un punto final no documentado del Protocolo de acceso autorizado OAuth de Google llamado MultiLogin permitía a los ciberdelincuentes recuperar cookies de sesión caducadas e iniciar sesión en cuentas de usuario sin requerir autenticación. Las “cookies” de sesión permiten a un sitio web almacenar información sobre una sesión de navegación hasta que se cierra, para reconocer a un usuario específico y proporcionarle lo que necesita. Por ejemplo, idioma seleccionado o datos de acceso. Con ellos, también puedes acceder a sitios y servicios sin ingresar información de inicio de sesión cada vez que te conectas. A diferencia de las «cookies» persistentes, que permanecen almacenadas en su computadora hasta que se eliminan o caducan (configuradas en Configuración), las cookies de sesión se eliminan cuando cierra su navegador, lo que brinda mayor seguridad a la información de los usuarios. compartieron con él. A finales de noviembre de 2023, los desarrolladores del ladrón de credenciales Lumma afirmaron poder recuperar las cookies de autenticación de Google caducadas robadas en campañas maliciosas, capacidad que luego se añadió a otros malware del mismo tipo, como Rhadamanthys, Risepro, Meduza. y Stealc Stealer. De esta manera, esta información permitió a los ciberdelincuentes obtener acceso no autorizado a cuentas de usuarios de Google incluso cuando sus propietarios habían cerrado la sesión del navegador – y, por tanto, eliminado la «cookie» de sesión – recuperando su contraseña o su sesión ha caducado. El origen de esta amenaza se puede encontrar en octubre, cuando un usuario llamado PRISMA aseguró a través de su canal de Telegram que había descubierto una manera de restaurar las «cookies» de autenticación de Google caducadas, lo que por un lado garantiza que la sesión siga siendo válida. incluso si se cambia la contraseña de la cuenta y crea “cookies” válidas en caso de que la sesión se interrumpa por un acceso continuo no autorizado a esa cuenta. Fue entonces cuando los investigadores de Cloudsek comenzaron a estudiar su rendimiento mediante ingeniería inversa del «exploit». Siguiendo este procedimiento, determinaron que los ciberdelincuentes explotaron un «punto final» indocumentado de Google OAuth, identificado como MultiLogin, como se indica en su blog oficial. MultiLogin es un mecanismo interno diseñado para sincronizar cuentas de Google entre servicios, asegurando que el estado de la cuenta del navegador coincida con la «cookie» de autenticación de Google, como se revela en el código fuente de Chrome. Según los investigadores, este punto final funciona aceptando vectores de identificación de cuenta y tokens de inicio de sesión, datos necesarios para administrar sesiones simultáneas o cambiar sin problemas entre perfiles de usuario. En este sentido, destacan que aunque MultiLogin juega un papel esencial en la autenticación de usuarios, también puede ser explotado por malware si se utiliza de forma indebida, siempre y cuando los ciberdelincuentes sepan cómo gestionar el sistema de autenticación interno de Google. También señalan que este «exploit» permanece vigente incluso después de que un usuario restablece su contraseña, lo que permite una explotación a largo plazo y potencialmente no detectada de cuentas y datos de usuario.