Google: El malware que abusa de la API es un robo de tokens estándar

Google minimiza la importancia de los informes sobre malware que abusa de una API no documentada de Google Chrome para generar nuevas cookies de autenticación después de que las previamente robadas hayan caducado.

A finales de noviembre de 2023, BleepingComputer informó sobre dos operaciones de malware de robo de información conocidas como Lumma y Rhadamanthys, asegurando que podían restaurar cookies de autenticación de Google previamente robadas que habían expirado durante los ataques.

Estas cookies podrían ser cargadas en los navegadores de los actores de amenazas, permitiéndoles acceder a las cuentas de Google de los usuarios infectados.
Desde entonces, otros cuatro programas maliciosos diseñados para robar información han adoptado la misma técnica, entre ellos, Stealc el 1 de diciembre, Medusa el 11 de diciembre, RisePro el 12 de diciembre y Whitesnake el 26 de diciembre.

La semana pasada, la empresa de ciberseguridad CloudSEK reveló que estas operaciones de malware centradas en el robo de información están haciendo un uso indebido de un punto final de la API denominada "MultiLogin" en Google OAuth. Esta manipulación permite generar nuevas cookies de autenticación que siguen siendo efectivas una vez que han expirado las cookies de Google originalmente sustraídas de una víctima.

Se cree que esta API está diseñada para sincronizar cuentas en diversos servicios de Google mediante la aceptación de un vector de ID de cuenta y tokens de inicio de sesión de autenticación.

Los intentos de BleepingComputer por obtener más información sobre esta API de Google no han tenido éxito, y la única documentación disponible se encuentra en el código fuente de Google Chrome


Según Pavan Karthick, investigador de CloudSEK, el malware de robo de información que abusa de esta función ahora tiene la capacidad de extraer múltiples tokens de Google Chrome. Estos tokens abarcan las cookies de autenticación de los sitios de Google, así como un token especial que puede emplearse para actualizar o generar nuevos tokens de autenticación.

A medida que las cookies de autenticación convencionales alcanzan su fecha de caducidad después de un período específico, dejan de ser efectivas para los actores de amenazas. Sin embargo, mientras el usuario no cierre sesión en Google Chrome o revoque todas las sesiones vinculadas a sus cuentas, estos actores pueden utilizar el token especial denominado "Actualizar" para generar nuevos tokens de autenticación una vez que los anteriores hayan expirado.
Estos recién generados tokens posibilitan que los atacantes mantengan el acceso a las cuentas durante un periodo mucho más extenso de lo que normalmente sería permitido.

No solo se trata del robo de cookies convencionales

Desafortunadamente, Google percibe este uso indebido de la API como un robo de cookies habitual a través de malware.

"Google está al tanto de los informes recientes sobre una familia de malware que sustrae tokens de sesión", declaró Google a BleepingComputer en un comunicado la semana pasada.

"Los ataques que involucran malware que roba cookies y tokens no son novedosos; actualizamos regularmente nuestras defensas contra tales técnicas para proteger a los usuarios afectados por malware. En este caso, Google ha tomado medidas para salvaguardar las cuentas comprometidas identificadas".

No obstante, fuentes familiarizadas con el asunto le informaron a BleepingComputer que Google considera que la API está operando según lo previsto y que el malware no está explotando ninguna vulnerabilidad.

La solución propuesta por Google para abordar este problema consiste simplemente en que los usuarios cierren sesión en su navegador Chrome desde el dispositivo afectado o eliminen todas las sesiones activas a través de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Al hacerlo, se invalida el token de actualización, volviéndolo inutilizable con la API.

Dado que el malware de robo de información ha capturado las credenciales, se aconseja cambiar la contraseña de Google como medida de precaución, especialmente si se utilizan las mismas credenciales en otros sitios.

"Mientras tanto, los usuarios deben tomar medidas continuas para eliminar cualquier rastro de malware de sus computadoras, y recomendamos activar la navegación segura mejorada en Chrome para protegerse contra el phishing y las descargas de malware", aconseja Google.

A pesar de que estos pasos recomendados pueden reducir el impacto de las infecciones de malware de robo de información, la mayoría de las personas infectadas con este tipo de malware no detectarán cuándo deben realizar estos procedimientos.

Por lo general, las personas no se percatan de que han sido víctimas de malware de robo de información hasta que se accede sin autorización a sus cuentas y se abusan de ellas de manera detectable.

Un ejemplo es el caso de un empleado de Orange España, el segundo proveedor de telefonía móvil más grande del país, cuyas contraseñas fueron sustraídas mediante un malware de robo de información. Sin embargo, nadie lo supo hasta que las credenciales robadas se utilizaron para acceder a la cuenta RIPE de la empresa y modificar su configuración de BGP, lo que resultó en un impacto del 50% en el rendimiento y cortes de Internet para los clientes de Orange.

Aunque Google afirma haber identificado a aquellos afectados por el mal uso de esta API y les ha enviado notificaciones, surge la pregunta sobre qué ocurrirá con las posibles futuras víctimas.

Además, la incertidumbre recae en cómo los usuarios podrán saber que deben cerrar sesión en su navegador para invalidar los tokens de autenticación si ni siquiera son conscientes de que fueron infectados en primer lugar.

Por esta razón, una solución más efectiva sería restringir de alguna manera el acceso a esta API para prevenir su mal uso por parte de operaciones de malware como servicio. Lamentablemente, no se vislumbra que esto esté siendo implementado.

BleepingComputer ha consultado a Google sobre sus planes para mitigar este abuso de la API, pero hasta el momento no ha obtenido respuesta a estas preguntas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta