На сцені з'явилося нове злодійське програмне забезпечення informace і який при цьому використовує нерозкриту кінцеву точку Google OAuth під назвою MultiLogin, щоб оновлювати прострочені файли cookie автентифікації та входити в облікові записи користувачів, навіть якщо пароль облікового запису було скинуто. Про це повідомив сайт BleepingComputer.
Наприкінці листопада минулого року BleepingComputer повідомила про шпигунське програмне забезпечення під назвою Lumma, яке може відновлювати файли cookie автентифікації Google, термін дії яких закінчився під час кібератак. Ці файли дозволять кіберзлочинцям отримати несанкціонований доступ до облікових записів Google навіть після того, як їхні власники вийдуть із системи, скинуть паролі або закінчать сесію. Посилаючись на звіт сервера CloudSEK, веб-сайт тепер описує, як працює ця атака нульового дня.
Фото галерея
Коротше кажучи, недолік по суті дозволяє встановлювати зловмисне програмне забезпечення на настільному комп’ютері для «вилучення та декодування облікових даних, що містяться в локальній базі даних Google Chrome». CloudSEK виявив новий вірус, який націлений на користувачів Chrome, щоб отримати доступ до облікових записів Google. Це небезпечне зловмисне програмне забезпечення використовує засоби відстеження файлів cookie.
Причина, чому це може статися без того, щоб користувачі цього усвідомлювали, полягає в тому, що згадане вище шпигунське програмне забезпечення дозволяє це зробити. Він може відновити прострочені файли cookie Google за допомогою нещодавно знайденого ключа запиту API. Що ще гірше, кіберзлочинці можуть використати цей експлойт ще раз, щоб отримати доступ до вашого облікового запису, навіть якщо ви скинули пароль свого облікового запису Google.
Вас може зацікавити
За даними BleepingComputer, він кілька разів звертався до Google щодо цієї проблеми Google, але досі не отримав відповіді.
