È comparso sulla scena un nuovo malware rubante informace e che così facendo sfrutta un endpoint OAuth di Google non divulgato chiamato MultiLogin per aggiornare i cookie di autenticazione scaduti e accedere agli account utente anche se la password dell'account è stata reimpostata. Lo ha riferito il sito BleepingComputer.
Alla fine di novembre dello scorso anno, BleepingComputer ha segnalato uno spyware chiamato Lumma in grado di ripristinare i cookie di autenticazione di Google scaduti a causa di attacchi informatici. Questi file consentirebbero ai criminali informatici di ottenere un accesso non autorizzato agli account Google anche dopo che i loro proprietari si sono disconnessi, abbiano reimpostato le password o fatto scadere la sessione. Collegandosi a un rapporto del server CloudSEK, il sito Web ha ora descritto come funziona questo attacco zero day.
Galleria di Foto
In breve, la falla consente essenzialmente l'installazione di malware su un computer desktop per "estrarre e decodificare le credenziali contenute nel database locale di Google Chrome". CloudSEK ha scoperto un nuovo virus che prende di mira gli utenti di Chrome per ottenere l'accesso agli account Google. Questo malware pericoloso si basa sui tracker dei cookie.
Il motivo per cui ciò può accadere senza che gli utenti se ne rendano conto è perché lo spyware sopra menzionato lo consente. Può ripristinare i cookie di Google scaduti utilizzando una chiave API di query appena scoperta. A peggiorare le cose, i criminali informatici possono utilizzare questo exploit ancora una volta per accedere al tuo account anche se hai reimpostato la password del tuo account Google.
Potrebbe interessarti
Secondo BleepingComputer, ha contattato Google più volte in merito a questo problema di Google, ma non ha ancora ricevuto risposta.
