Verschillende malware-families kunnen hackers toegang geven tot Google-accounts. De malware misbruikt hiervoor een OAuth2-functionaliteit van Google. De hackers buitensluiten door het wachtwoord van een getroffen account te wijzigen, biedt geen soelaas.
De Google OAuth2-endpoint MultiLogin zou te misbruiken zijn voor het inbreken op Google-accounts. Via de exploit stelen hackers namelijk sessiecookies, die informatie over de inloggegevens bevatten. Dit type cookies onthoudt de gegevens zodat gebruikers toegang krijgen tot hun account zonder de gebruikersnaam en wachtwoord steeds in te voeren. Dit is bijvoorbeeld een hulpmiddel voor het inloggen bij online diensten die je aanmelden via je Google-account.
Het gaat om een volledige authenticatie, waarin ook de tweestapsverificatie automatisch wordt gegenereerd van een eerdere sessie. Omwille van de gevoeligheid van de informatie die dit type cookies bevatten, mag de levensduur van sessiecookies maar kort zijn.
Met MultiLogin kunnen hackers echter sessiecookies van Google herstellen. Inbreken in Google-accounts is vervolgens een eitje, door een infostealer-malware in te zetten. De exploit genereert bovendien automatisch de meest recente informatie, waardoor het probleem niet is opgelost met een wachtwoord-wijziging. Dat is niet het enige probleem want hackers kunnen daarnaast de toegang lang behouden. Het is namelijk een optie de cookies opnieuw te genereren mocht de openstaande sessie van de hacker worden onderbroken.
Malware online te koop
Er zijn verschillende malware-families in omloop en volgens CloudSEK buiten cybercriminelen de exploit dan ook uit. Het onderzoeksteam van dit bedrijf ontdekte MulitLogin en publiceerde een blog met bevindingen. Het bewijs dat cybercriminelen de exploit ook al kennen, vormde het begin van dit onderzoek. De aanleiding was namelijk een Telegram-bericht van cybercrimineel ‘PRISMA’.
Er is intussen al weet van zes infostealers-malware. Tussen de families zit de Lumma Infostealer. Dit type malware staat bekend voor het stelen van volgende gevoelige informatie: crypto-portefeuilles, browserextensies en codes voor tweestapsverificatie. De infostealer wordt al verhandeld sinds 2022.
Gemak boven veiligheid?
Google reageerde zelf niet op de ontdekking en het misbruik van MultiLogin is dus niet officieel bevestigd. Het team van Hudson Rock, dat een eigen onderzoek heeft lopen naar de exploit, zegt dat Google geen actie onderneemt. Zij speculeren dat sessiecookies ook niet zullen worden uitgeschakeld omwille van het gebruiksgemak. Het bedrijf bracht onlangs wel een ander hulpmiddel uit voor het controleren op lekken waarin je wachtwoord wordt blootgegeven. De functie zal alleen deze exploit niet kunnen ontdekken.
Lees ook: Google Chrome heeft Safety Check: controleert en heeft controle nodig
Tegenover diefstal van cookies wordt in het algemeen aangeraden om ingebouwde diensten die wachtwoorden onthouden niet te gebruiken. Anders is het altijd verstandig om dergelijke diensten alleen te gebruiken als een master-wachtwoord de gegevens beschermt. Daarnaast is het verstandig in te stellen dat cookies automatisch worden verwijderd bij het sluiten van de browser.