🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Comprometendo contas do Google: malwares explorando a funcionalidade não documentada do OAuth2 para sequestro de sessões

Um blog detalhado sobre Análise da tendência global de malware: explorando a funcionalidade não documentada do OAuth2 para regenerar cookies de serviços do Google, independentemente da redefinição de IP ou senha.
December 29, 2023
9
min
Tabela de conteúdo
Exemplo H2
Exemplo H2
  • Categoria: Inteligência do adversário
  • Indústria: Todas as indústrias
  • Motivação:Financeiro
  • Fonte*: C - Bastante confiável
    1 - Confirmado por fontes independentes

Sumário executivo

Em outubro de 2023, a PRISMA, desenvolvedora, descobriu uma exploração crítica que permite a geração de cookies persistentes do Google por meio da manipulação de tokens. Essa exploração permite o acesso contínuo aos serviços do Google, mesmo após a redefinição da senha do usuário. Posteriormente, um cliente, um agente de ameaças, fez a engenharia reversa desse script e o incorporou ao Lumma Infostealer (Veja o Apêndice 8), protegendo a metodologia com técnicas avançadas de blackboxing. Isso marcou o início de um efeito cascata, pois o exploit se espalhou rapidamente entre vários grupos de malware para se manter a par de recursos exclusivos.

A equipe de pesquisa de ameaças da CloudSEK, aproveitando o HUMINT e a análise técnica, identificou a raiz da exploração em um endpoint não documentado do Google Oauth chamado “MultiLogin”. Este relatório investiga a descoberta da exploração, sua evolução e as implicações mais amplas para a segurança cibernética.

Cronograma dos eventos:

20 de outubro de 2023: A exploração é revelada pela primeira vez em um canal do Telegram. (Figura 1)

14 de novembro de 2023: A Lumma anuncia a integração do recurso com uma abordagem avançada de blackboxing. O recurso começou a crescer por causa da publicação do Security Field sobre o recurso exclusivo do Lumma. (Apêndice 1)

Rhadamanthys 17 de novembro: Rhadamanthys anuncia o recurso com uma abordagem de blackboxing semelhante à Lumma (Apêndice 6)

24 de novembro de 2023: A Lumma atualiza o exploit para neutralizar as medidas de detecção de fraudes do Google. (Apêndice 7)

Stealc em 1º de dezembro de 2023 - Implementou o recurso de restauração do token da conta do Google (Apêndice 4)

Meduza 11 de dezembro de 2023 - Implementou o recurso de restauração do token da conta do Google (Apêndice 5)

RisePro 12 de dezembro de 2023 - Implementou o recurso de restauração do token da conta do Google (Apêndice 3)

WhiteSnake 26 de dezembro de 2023 - Implementou o recurso de restauração do token da conta do Google (Apêndice 2)

27 de dezembro de 2023 - Postagens do Hudson Rock vídeo da Darkweb, onde um hacker mostra a exploração dos cookies gerados

Análise e atribuição

Informações do Post

  • Em 20 de outubro de 2023, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriram que um agente de ameaças chamado 'PRISMA' fez um anúncio significativo em seu canal no Telegram, revelando uma solução potente de 0 dias para lidar com os desafios das próximas sessões de contas do Google. Essa solução possui dois recursos principais:

    Persistência da sessão:     A sessão permanece válida mesmo quando a senha da conta é alterada, oferecendo uma vantagem exclusiva de contornar as medidas de segurança típicas.
    Geração de cookies: A capacidade de gerar cookies válidos em caso de interrupção da sessão aumenta a capacidade do atacante de manter acesso não autorizado.
  • O desenvolvedor expressou abertura à cooperação, sugerindo uma vontade potencial de colaborar ou compartilhar ideias sobre essa nova exploração.

Figura 1: Postagem do TA sobre sua descoberta em um canal de telegramas em 20 de outubro de 2023


O Lumma Infostealer, incorporando a exploração descoberta, foi implementado em 14 de novembro. Posteriormente, Rhadamanthys, Risepro, Meduza e Stealc Stealer adotaram essa técnica. Em 26 de dezembro, White Snake também implementou a exploração. Atualmente, o Eternity Stealer está trabalhando ativamente em uma atualização, indicando uma tendência preocupante de rápida integração entre vários grupos do Infostealer.

Na captura de tela abaixo, você pode ver o novo token de restauração criptografado que está presente na versão mais recente do Lumma (datada de 26 de novembro), enquanto o outro lado da captura de tela destaca a versão mais antiga, onde os cookies dos navegadores são agrupados para criar o Account_Chrome_Default.txt

Figura 2: Diferença entre os registros de malware Lumma, um datado de 26 de novembro contendo cookies criptografados e os de 12 apenas os cookies extraídos dos navegadores.

Análise técnica

Scaling from zero - Como os malwares estão exfiltrando os segredos necessários

Exfiltração de tokens e IDs de conta: ao reverter a variante de malware, entendemos que eles têm como alvo a tabela token_service de WebData do Chrome para extrair tokens e IDs de contas de perfis do Chrome conectados. Essa tabela contém duas colunas cruciais: service (GAIA ID) e encrypted_token. Os tokens criptografados são descriptografados usando uma chave de criptografia armazenada no estado local do Chrome no diretório userData, semelhante à criptografia usada para armazenar senhas.

Figura 3 A estrutura da tabela token_service

Figura 4 Descrição da característica do Stealer de extrair os detalhes necessários da máquina da vítima

Analisando a origem e o uso do endpoint

O endpoint MultiLogin, conforme revelado pelo código-fonte do Chromium, é um mecanismo interno projetado para sincronizar contas do Google em todos os serviços. Ele facilita uma experiência consistente do usuário, garantindo que os estados da conta do navegador estejam alinhados com os cookies de autenticação do Google.

Tentamos encontrar as menções do endpoint com um Google Dork, mas não conseguimos encontrar nenhuma. Mais tarde, a tentativa de encontrar o mesmo endpoint no GitHub forneceu correspondências exatas que revelaram o código-fonte do cromo, conforme mostrado abaixo.

Figura 5 Código-fonte no código-fonte de cromo do Google, revelando o formato dos parâmetros, o formato dos dados e a finalidade



Esse endpoint opera aceitando um vetor de IDs de conta e tokens de login de autenticação — dados essenciais para gerenciar sessões simultâneas ou alternar facilmente entre perfis de usuário. Os insights da base de código do Chromium confirmam que, embora o recurso MultiLogin desempenhe um papel vital na autenticação do usuário, ele também apresenta uma via explorável se for mal administrado, conforme evidenciado pelos recentes desenvolvimentos de malware


Figura 6 Testes unitários revelando os dados de solicitação esperados

Nossas fontes de TI conversaram com o agente de ameaças que descobriu o problema, o que acelerou nossa descoberta do endpoint responsável pela regeneração dos cookies.

Engenharia reversa do código de exploração

Revelando o endpoint: Por meio da engenharia reversa do executável de exploração fornecido pelo autor original, o endpoint específico envolvido no exploit foi descoberto. Esse endpoint multiLogin não documentado é uma parte essencial do sistema OAuth do Google, aceitando vetores de IDs de contas e tokens de login de autenticação.

Figura 7 Código de exploração de engenharia reversa que mostra o endpoint explorado.


Táticas intrincadas dos agentes de ameaças

No campo das ameaças cibernéticas, as táticas empregadas pelos agentes de ameaças geralmente são tão sofisticadas quanto clandestinas. O caso da exploração pela Lumma do endpoint multiLogin não documentado do Google OAuth2 fornece um exemplo clássico dessa sofisticação.

A abordagem da Lumma depende de uma manipulação diferenciada do par de IDs Token:GAIA, um componente essencial no processo de autenticação do Google. Esse par, quando usado em conjunto com o endpoint MultiLogin, permite a regeneração dos cookies de serviço do Google. A inovação estratégica da Lumma está na criptografia desse par de IDs Token: GAIA com suas chaves privadas proprietárias. Ao fazer isso, eles efetivamente “bloqueiam” o processo de exploração, ocultando a mecânica central da exploração em sigilo. Essa caixa preta serve a dois propósitos:

  • Proteção da técnica de exploração: Ao aplicar criptografia ao par principal de IDs Token:GAIA, o Lumma efetivamente mascara o mecanismo central de sua exploração. Essa camada de criptografia atua como uma barreira, impedindo que outras entidades maliciosas dupliquem seu método. Esse movimento estratégico não apenas preserva a singularidade de sua exploração no cenário competitivo do crime cibernético, mas também oferece a eles uma vantagem no mercado ilícito. No entanto, a adaptação subsequente da Lumma, que introduziu o uso de proxies SOCKS para contornar as restrições baseadas em IP do Google à regeneração de cookies, expôs inadvertidamente alguns detalhes das solicitações e respostas, potencialmente comprometendo a obscuridade da exploração.
  • Evasão da detecção: A comunicação criptografada entre o malware c2 e o endpoint MultiLogin tem menos probabilidade de acionar alarmes em sistemas de segurança de rede. Os protocolos de segurança padrão são mais propensos a ignorar o tráfego criptografado, confundindo-o com a troca legítima de dados criptografados.
Figura 8 Regeneração bem-sucedida dos cookies após a redefinição da senha.


Sofisticação na técnica de exploração

Essa técnica de exploração demonstra um maior nível de sofisticação e compreensão dos mecanismos internos de autenticação do Google. Ao manipular o par de IDs Token:GAIA, a Lumma pode regenerar continuamente os cookies para os serviços do Google. Ainda mais alarmante é o fato de que essa exploração permanece efetiva mesmo depois que os usuários redefinem suas senhas. Essa persistência no acesso permite uma exploração prolongada e potencialmente despercebida de contas e dados de usuários.

A decisão tática de criptografar o principal componente do exploit mostra um movimento deliberado em direção a ameaças cibernéticas mais avançadas e furtivas. Isso significa uma mudança no cenário do desenvolvimento de malware, onde a ênfase está cada vez mais na ocultação e proteção das metodologias de exploração, tanto quanto na eficácia das próprias explorações.

Análise HUMINT:

O papel da inteligência humana: A HUMINT desempenhou um papel fundamental na aceleração do processo de pesquisa. As fontes forneceram informações parciais sobre a exploração, levando a tentativas iniciais malsucedidas (400 respostas) do endpoint. No entanto, outros insights do HUMINT, combinados com o OSINT, revelaram o esquema do exploit.

Figura 9 Conversa do TA original com nossa fonte


Fonte e origem do exploit: Análise da string do agente do usuário encontrada no código-fonte, conforme visto em Figura 7 (com.google.drive/6.0.230903 iSL/3.4 iPhone/15.7.4 HW/iPhone9_4 (gzip)) sugere que um teste de penetração nos serviços do Google Drive em dispositivos Apple foi uma possível origem da exploração. Os testes imperfeitos do exploit levaram à revelação de sua origem.

Etapas provisórias de remediação

Enquanto aguardamos uma solução abrangente do Google, os usuários podem tomar medidas imediatas para se proteger contra essa exploração. Se você suspeitar que sua conta pode ter sido comprometida, ou como precaução geral, saia de todos os perfis do navegador para invalidar os tokens da sessão atual. Depois disso, redefina sua senha e faça login novamente para gerar novos tokens. Isso é especialmente crucial para usuários cujos tokens e IDs GAIA podem ter sido exfiltrados. A redefinição de sua senha interrompe efetivamente o acesso não autorizado ao invalidar os tokens antigos que o ladrões de informações confiam, fornecendo assim uma barreira crucial para a continuação de sua exploração.

Etapas provisórias de remediação

Perguntas frequentes

Qual é a natureza da exploração envolvendo contas do Google?

A exploração envolve malware usando um endpoint não documentado do Google OAuth, o “MultiLogin”, para regenerar cookies expirados do Google Service, permitindo acesso persistente às contas comprometidas. Esse método ignora a necessidade de uma senha, mas não representa uma vulnerabilidade direta no próprio sistema OAuth.

Alterar sua senha protege sua conta contra esse exploit?

Alterar a senha por si só pode não ser suficiente. O exploit permite a regeneração de cookies de autenticação mesmo após uma redefinição de senha, mas apenas uma vez. Para proteger totalmente a conta, os usuários devem sair de todas as sessões e revogar todas as conexões suspeitas.

Os usuários podem revogar o acesso se a conta for comprometida?

Os usuários podem invalidar sessões roubadas saindo do navegador afetado ou revogando remotamente as sessões por meio da página de gerenciamento de dispositivos da conta.

Essa é uma nova forma de ataque cibernético?

Embora a exploração e a exfiltração específicas de um token específico sejam relativamente novas, o conceito de malware que rouba senhas e cookies não é uma nova ameaça cibernética. Os incidentes recentes chamaram a atenção para a sofisticação e a discrição dos ataques cibernéticos modernos.

O que os usuários devem fazer para proteger suas contas?

Os usuários são aconselhados a verificar regularmente se há sessões desconhecidas, alterar senhas e ficar atentos ao baixar software desconhecido e anexos desconhecidos.

Conclusão

Essa análise ressalta a complexidade e a discrição das ameaças cibernéticas modernas. Ele destaca a necessidade de monitoramento contínuo das vulnerabilidades técnicas e das fontes de inteligência humana para se manter à frente das ameaças cibernéticas emergentes. A colaboração da inteligência técnica e humana é crucial para descobrir e compreender explorações sofisticadas como a analisada neste relatório.

Referências

Apêndice

Apêndice 1: Lumma publicando o recurso em 14 de novembro de 2023

Apêndice 2: O ladrão de cobras brancas implementou a função em seu ladrão em 26 de dezembro de 2023

Apêndice 3: Implementação do mesmo recurso pela RisePro em 12 de dezembro


Apêndice 4: Implementação do recurso pelo StealC em 1º de dezembro

Apêndice 5: Destaque da Meduza de 11 de dezembro de 2023


Apêndice 6: O recurso de Rhadamanthys para restaurar a Conta do Google

Apêndice 7: Ação da equipe Lumma devido à detecção de fraudes pelo Google.


Apêndice 8: Conversa do desenvolvedor do Prisma com outra fonte pública sobre o roubo e a reutilização pela Lumma


Pavan Karthick M
Threat Researcher at CloudSEK, building threat intelligence and automation systems for malware tracking, dark web intelligence, and vulnerability monitoring. He researches stealer ecosystems and cybercrime networks, and speaks at BSides, Null/OWASP, and HITB on AI-driven security automation.
Anirudh Batra
Threat Analyst at CloudSEK
Sparsh Kulshrestha
Sparsh is a Cyber Security Analyst at CloudSEK.
Abhishek Mathew
Cyber threat intelligence researcher specializing in OSINT, HUMINT, and social engineering.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
9
min
Weaponizing LSPosed: Remote SMS Injection and Identity Spoofing in Modern Payment Ecosystems
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais