令人擔(dān)憂的是，多個(gè)信息竊取惡意軟件家族正在利用名為“MultiLogin”的未記錄的GoogleOAuth端點(diǎn)來(lái)恢復(fù)過(guò)期的身份驗(yàn)證cookie，從而提供對(duì)用戶Google帳戶的未經(jīng)授權(quán)的訪問(wèn)。會(huì)話cookie的使用壽命有限，通常會(huì)過(guò)期，從而防止長(zhǎng)時(shí)間未經(jīng)授權(quán)的訪問(wèn)。

然而，威脅行為者發(fā)現(xiàn)了一個(gè)零日漏洞，允許他們重新生成過(guò)期的Google身份驗(yàn)證cookie，即使在合法所有者重置密碼或注銷后也是如此。一個(gè)名為PRISMA的威脅行為者最初披露了該漏洞，并在Telegram上分享了恢復(fù)過(guò)期cookie的方法。

CloudSEK研究人員進(jìn)一步調(diào)查了此事，發(fā)現(xiàn)該漏洞利用了“MultiLogin”端點(diǎn)，旨在跨各種Google服務(wù)同步帳戶。被濫用的API端點(diǎn)是GaiaAuthAPI的一部分，接受帳戶ID和身份驗(yàn)證登錄令牌的向量，使威脅行為者能夠提取關(guān)鍵信息以進(jìn)行持久訪問(wèn)。

零日攻擊的工作原理是從登錄Google帳戶的Chrome配置文件中提取令牌和帳戶ID。被盜信息包括服務(wù)(GAIAID)和encrypted_token。威脅行為者使用存儲(chǔ)在Chrome的“本地狀態(tài)”文件中的加密密鑰來(lái)解密被盜的令牌。這些解密的令牌與MultiLogin端點(diǎn)配對(duì)，允許威脅行為者重新生成過(guò)期的Google服務(wù)cookie。它可以有效地維持對(duì)受感染帳戶的持久訪問(wèn)。

如果用戶重置其Google密碼，威脅參與者只能重新生成身份驗(yàn)證cookie一次。但是，如果密碼保持不變，他們可以重復(fù)重新生成它。值得注意的是，包括Lum、Rhadanthys、Stealc、Medusa、RisePro和Whitesnake在內(nèi)的多種信息竊取惡意軟件都采用了此漏洞。這些惡意軟件變體聲稱能夠使用API端點(diǎn)重新生成Googlecookie。它對(duì)用戶帳戶安全構(gòu)成重大威脅。

盡管該漏洞已被揭露和演示，但谷歌尚未正式確認(rèn)MultiLogin端點(diǎn)的濫用情況。這種情況引發(fā)了人們對(duì)開(kāi)采規(guī)模和緩解措施缺乏的擔(dān)憂。該漏洞被多個(gè)惡意軟件家族采用，凸顯了Google迫切需要解決和修補(bǔ)這個(gè)零日漏洞。這是該過(guò)程的快速演示。

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場(chǎng)無(wú)關(guān)。財(cái)經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險(xiǎn)自擔(dān)。 如有侵權(quán)請(qǐng)聯(lián)系刪除！