Malware Menggunakan Eksploitasi MultiLogin Google untuk Pertahankan Akses Meski Kata Sandi Direset
Cyberthreat.id - Malware pencuri informasi secara aktif memanfaatkan titik akhir Google OAuth tidak berdokumen bernama MultiLogin untuk membajak sesi pengguna dan mengizinkan akses berkelanjutan ke layanan Google bahkan setelah sandi disetel ulang.
Menurut CloudSEK, eksploitasi kritis memfasilitasi persistensi sesi dan pembuatan cookie, memungkinkan pelaku ancaman mempertahankan akses ke sesi yang valid dengan cara yang tidak sah.
Teknik tersebut pertama kali diungkap oleh pelaku ancaman bernama PRISMA pada 20 Oktober 2023 di saluran Telegram mereka. Sejak saat itu, tulis The Hacker News, malware tersebut telah dimasukkan ke dalam berbagai keluarga pencuri malware-as-a-service (MaaS), seperti Lumma, Rhadamanthys, Stealc, Meduza, RisePro, dan WhiteSnake.
Titik akhir autentikasi MultiLogin terutama dirancang untuk menyinkronkan akun Google di seluruh layanan saat pengguna masuk ke akun mereka di browser web Chrome (yaitu profil).
Rekayasa balik kode Lumma Stealer telah mengungkapkan bahwa teknik tersebut menargetkan "tabel token_service Chrome di WebData untuk mengekstrak token dan ID akun dari profil chrome yang masuk," kata peneliti keamanan Pavan Karthick M. "Tabel ini berisi dua kolom penting: layanan (ID GAIA) dan enkripsi_token."
Pasangan token:GAIA ID ini kemudian digabungkan dengan titik akhir MultiLogin untuk membuat ulang cookie autentikasi Google.
Karthick mengatakan kepada The Hacker News bahwa tiga skenario pembuatan token-cookie berbeda telah diuji:
Saat pengguna masuk dengan browser, dalam hal ini token dapat digunakan berapa kali pun
Saat pengguna mengubah sandi namun mengizinkan Google tetap login, dalam hal ini token hanya dapat digunakan satu kali karena token sudah digunakan satu kali agar pengguna tetap login.
Jika pengguna keluar dari browser, maka token akan dicabut dan dihapus dari penyimpanan lokal browser, yang akan dibuat ulang saat masuk kembali.
Saat dimintai komentar, Google mengakui adanya metode serangan tersebut namun mencatat bahwa pengguna dapat mencabut sesi yang dicuri dengan keluar dari browser yang terkena dampak.
“Google mengetahui laporan terbaru tentang keluarga malware yang mencuri token sesi,” kata perusahaan itu kepada The Hacker News.
"Serangan yang melibatkan malware yang mencuri cookie dan token bukanlah hal baru; kami secara rutin meningkatkan pertahanan kami terhadap teknik tersebut dan untuk mengamankan pengguna yang menjadi korban malware. Dalam hal ini, Google telah mengambil tindakan untuk mengamankan setiap akun yang disusupi yang terdeteksi."
“Namun, penting untuk mencatat kesalahpahaman dalam laporan yang menyatakan bahwa token dan cookie yang dicuri tidak dapat dicabut oleh pengguna,” tambahnya lebih lanjut.
"Ini tidak benar, karena sesi yang dicuri dapat dibatalkan hanya dengan keluar dari browser yang terpengaruh, atau dicabut dari jarak jauh melalui halaman perangkat pengguna. Kami akan terus memantau situasi dan memberikan pembaruan sesuai kebutuhan."
Google selanjutnya merekomendasikan pengguna untuk mengaktifkan Enhanced Safe Browsing di Chrome untuk melindungi dari unduhan phishing dan malware.
“Disarankan untuk mengubah kata sandi sehingga pelaku ancaman tidak menggunakan alur autentikasi pengaturan ulang kata sandi untuk memulihkan kata sandi,” kata Karthick.
“Selain itu, pengguna harus disarankan untuk memantau aktivitas akun mereka untuk menemukan sesi mencurigakan yang berasal dari IP dan lokasi yang tidak mereka kenali.”
“Klarifikasi Google merupakan aspek penting dari keamanan pengguna,” kata salah satu pendiri dan chief technology officer Hudson Rock, Alon Gal, yang sebelumnya mengungkapkan rincian eksploitasi tersebut akhir tahun lalu.
“Namun, insiden ini menyoroti eksploitasi canggih yang mungkin menantang metode tradisional dalam mengamankan akun. Meskipun tindakan Google sangat berharga, situasi ini menyoroti perlunya solusi keamanan yang lebih canggih untuk melawan ancaman dunia maya yang terus berkembang seperti dalam kasus pencuri informasi yang sangat populer di kalangan penjahat dunia maya saat ini."[]
