Home Sociedad Google: el abuso de API por malware es un robo de token...

Google: el abuso de API por malware es un robo de token estándar, no un problema de API

Google está restando importancia a los informes de malware que abusa de una API de Google Chrome no documentada para generar nuevas cookies de autenticación cuando las previamente robadas han caducado.

A finales de noviembre de 2023, BleepingComputer informó sobre dos operaciones de malware de robo de información llamadas Lumma y Rhadamanthys, afirmando que podían restaurar las cookies de autenticación de Google caducadas robadas en ataques.

Luego, estas cookies podrían cargarse en los navegadores de los actores de amenazas para obtener acceso a las cuentas de Google de un usuario infectado.

Desde entonces, otros cuatro ladrones de información han adoptado la misma técnica, incluido Stealc el 1 de diciembre, Medusa el 11 de diciembre, RisePro el 12 de diciembre y Whitesnake el 26 de diciembre.

La semana pasada, la firma de ciberseguridad CloudSEK reveló que estas operaciones de malware para robar información están abusando de un punto final API “MultiLogin” de Google OAuth para generar cookies de autenticación nuevas y funcionales cuando las cookies originales de Google robadas de la víctima caducan.

Se cree que esta API está diseñada para sincronizar cuentas entre diferentes servicios de Google aceptando un vector de ID de cuenta y tokens de inicio de sesión de autenticación.

El investigador de CloudSEK, Pavan Karthick, le dijo a BleepingComputer que el malware que roba información que abusa de esta función ahora robará varios tokens de Google Chrome.

Estos tokens incluyen cookies de autenticación para los sitios de Google y un token especial que se puede utilizar para actualizar o generar nuevos tokens de autenticación.

A medida que las cookies de autenticación normales caducan después de un cierto período de tiempo, eventualmente quedan inutilizables para el actor de la amenaza.

Sin embargo, siempre que el usuario no haya cerrado sesión en Google Chrome ni haya revocado todas las sesiones asociadas con sus cuentas, los actores de amenazas pueden usar este token especial de “Actualización” para generar nuevos tokens de autenticación cuando los anteriores hayan expirado.

Estos nuevos tokens les permiten seguir accediendo a las cuentas durante mucho más tiempo del habitual.

Desafortunadamente, Google ve este abuso de API como un simple robo de cookies común y corriente basado en malware.

La solución de Google a este problema es simplemente hacer que los usuarios cierren sesión en su navegador Chrome desde el dispositivo afectado o eliminen todas las sesiones activas a través de g.co/mydevices. Hacerlo invalidará el token de actualización y lo dejará inutilizable con la API.

Como el malware que roba información robó tus credenciales, también debes cambiar tu contraseña de Google por precaución, especialmente si usas las mismas credenciales en otros sitios.

Si bien estos pasos recomendados mitigarán el impacto de las infecciones de malware que roban información, la mayoría de las personas infectadas con este tipo de malware no sabrán cuándo seguir estos pasos.

Cuando las personas están infectadas con malware que roba información, normalmente no lo saben hasta que se accede a sus cuentas sin permiso y se abusa de ellas de alguna manera detectable.