Uma nova ameaça cibernética está explorando uma vulnerabilidade não documentada do Google OAuth, chamada MultiLogin, para sequestrar sessões de usuários e manter acesso contínuo aos serviços do Google, mesmo após redefinições de senha. A técnica foi revelada inicialmente por um ator de ameaças chamado PRISMA em outubro de 2023 e desde então foi adotada por várias famílias de malwares, incluindo Lumma, Rhadamanthys, Stealc, Meduza, RisePro e WhiteSnake.
Cronologia do Exploit e sua Disseminação
- Outubro de 2023: PRISMA revela o exploit em um canal do Telegram.
- Novembro de 2023: O Lumma Infostealer integra o exploit com uma abordagem avançada de “blackboxing”.
- Dezembro de 2023: Outros grupos de malwares adotam a técnica, com atualizações subsequentes para contornar as medidas de detecção de fraudes do Google.
Técnica e Implicações do Exploit
O exploit permite a geração persistente de cookies do Google por meio da manipulação de tokens, possibilitando acesso contínuo aos serviços do Google. Lumma, um dos malwares que adotou essa técnica, utiliza uma abordagem sofisticada que inclui a criptografia do par token:GAIA ID, um componente crítico no processo de autenticação do Google. Essa estratégia de “blackboxing” torna o processo de exploração mais difícil de ser detectado e replicado.
Preocupações de Segurança e Resposta do Google
A exploração do endpoint MultiLogin destaca a complexidade e a sutileza das ameaças cibernéticas modernas. O Google confirmou o ataque de roubo de sessão e está trabalhando para proteger as contas comprometidas. A empresa rotineiramente atualiza suas defesas contra essas técnicas. Enquanto uma solução abrangente não é fornecida, os usuários podem tomar medidas imediatas para se proteger, como sair de todos os perfis do navegador para invalidar os tokens de sessão atuais e redefinir suas senhas.
Este caso ressalta a necessidade de monitoramento contínuo de vulnerabilidades técnicas e fontes de inteligência humana para se manter à frente de ameaças cibernéticas emergentes. A colaboração entre inteligência técnica e humana é crucial para descobrir e compreender exploits sofisticados como o analisado neste relatório.
