Di nuovo un problema coi malware, ma stavolta a essere coivolto è il sistema che ruota attorno a Google Account. Diverse sono le segnalazioni in merito a una vulnerabilità relativa ai cookie, che può permettere agli hacker di estrarre file e rubare informazioni personali.
Attualmente, consigliamo di non installare software di cui non si ha familiarità, poiché potrebbe trattarsi di malware.
Google Account, nuova ondata di malware in arrivo
Recenti segnalazioni da parte di BleepingComputer, CloudSEK e Hudson Rock indicano una preoccupante vulnerabilità correlata ai cookie che potrebbe consentire l’accesso non autorizzato agli account Google, anche dopo la modifica delle password.
Un rapporto pubblicato oggi dai ricercatori di CloudSEK fa più luce su come funziona questo exploit zero-day e dipinge un quadro terribile per quanto riguarda la portata del suo sfruttamento.
L’exploit è stato rivelato per la prima volta da un hacker di nome PRISMA il 20 ottobre 2023, che ha pubblicato su Telegram di aver scoperto un modo per ripristinare i cookie di autenticazione di Google scaduti.
BleepingComputer ha identificato almeno sei gruppi di malware che hanno accesso a questa vulnerabilità e la stanno commercializzando. L’annuncio iniziale di questa falla risale a metà novembre, e alcune parti coinvolte sostengono di aver già adattato l’exploit per superare le contromisure implementate da Google.
Come funziona questo malware su Google
Come riportato da 9to5google, la procedura di attacco richiede l’installazione di malware su un desktop, il cui scopo è “estrapolare e decrittografare i token di accesso archiviati nel database locale di Google Chrome“.
Una volta ottenuti, questi token vengono utilizzati per inviare richieste a un’API di Google, comunemente utilizzata da Chrome per la sincronizzazione degli account su diversi servizi della piattaforma. L’esito finale è la creazione di “cookie Google stabili e persistenti” che gestiscono l’autenticazione e consentono l’accesso all’eventuale conto associato.
CloudSEK afferma che il malware, che ruba informazioni e abusa di questo endpoint, estrae token e ID account dei profili Chrome che hanno effettuato l’accesso a un account Google. Queste informazioni rubate contengono due dati cruciali:
- servizio (ID GAIA),
- crypto_token.
I token crittografati subiscono la decrittografia utilizzando una crittografia archiviata nella cartella ‘Stato locale’ file. Questa stessa chiave di crittografia viene utilizzata anche per decrittografare le password salvate nel browser.
Quali sono i potenziali rischi
Un aspetto preoccupante di questa vulnerabilità è la possibilità di ripetere il processo di “ripristino” dei cookie, senza che la vittima si accorga dell’intrusione.
Anche dopo aver modificato la password dell’account Google, il malintenzionato può sfruttare nuovamente l’exploit per ottenere l’accesso. Questa caratteristica rende la vulnerabilità particolarmente insidiosa e potenzialmente difficile da rilevare per gli utenti compromessi.
Altro aspetto pericoloso è che l’utente potrebbe non accorgersi dell’attacco, consentendo al malintenzionato di sfruttare ripetutamente questa vulnerabilità. Anche nell’ipotesi di un reset della password, l’exploit potrebbe ancora essere utilizzato dall’hacker.
