Google hesap güvenliğinin sıfır gün istismarı ilk kez Ekim 2023’te “PRISMA” olarak bilinen bir siber suçlu tarafından ortaya atılmıştı ve bu tekniğin, şifre değiştirildikten sonra bile bir kurbanın hesabına tekrar giriş yapmak için kullanılabileceği öne sürülüyordu.
Ayrıca, kurbanların e-postalarına, bulut depolama alanına ve gerektiğinde daha fazlasına yeniden erişim sağlamak için yeni oturum belirteçleri oluşturmak için de kullanılabilir.
O zamandan bu yana, bilgi hırsızı kötü amaçlı yazılım geliştiricileri bu istismarı sürekli olarak kodlarına uyguladı. Bu güvenlik açığını kötüye kullanan bilinen kötü amaçlı yazılım ailelerinin toplam sayısı Lumma ve Rhadamanthys dahil olmak üzere altıya ulaşırken, Eternity Stealer da yakın gelecekte yayınlanacak bir güncelleme üzerinde çalışıyor.
Bunlara bilgi hırsızları deniyor çünkü zavallı bir sapın bilgisayarında çalıştıklarında, yerel ana bilgisayardaki hassas bilgileri (uzak masaüstü kimlik bilgileri, web sitesi çerezleri ve kripto cüzdanlar gibi) bulmaya çalışıyorlar ve bunları yerel ana bilgisayar tarafından çalıştırılan uzak sunuculara sızdırıyorlar.
CloudSEK’teki bilginler, Google hesabı istismarının kökeninin belgelenmemiş Google OAuth uç noktası “MultiLogin“de olduğunu bulduklarını söylüyor.
Bu istismar, kurbanların oturum jetonlarının çalınması etrafında dönüyor. Yani, kötü amaçlı yazılım ilk önce bir kişinin bilgisayarına bulaşır; ardından, diğer şeylerin yanı sıra hesaplara giriş yapmak için kullanılabilecek web tarayıcısı oturum çerezlerini bulmak için makineyi tarar.
Bu oturum belirteçleri daha sonra kötü amaçlı yazılımın operatörlerine bu hesaplara girip ele geçirmeleri için sızdırılıyor. Kullanıcı güvenliğinin ihlal edildiğini fark edip Google şifresini değiştirse bile bu jetonların giriş yapmak için hâlâ kullanılabileceği ortaya çıktı.
Görünüşe göre çerezleri çalınan kullanıcılar, istismarı önlemek için tamamen çıkış yapmalı ve dolayısıyla oturum belirteçlerini geçersiz kılmalı.
MultiLogin, Google hesaplarının farklı hizmetler arasında senkronize edilmesinden sorumlu. Eş zamanlı oturumları yönetmek veya kullanıcı profilleri arasında geçiş yapmak için hesap kimlikleri ve kimlik doğrulama jetonlarından oluşan bir vektörü kabul ediyor.
Bilgi hırsızı kötü amaçlı yazılıma yapılan tersine mühendislik, oturum açmış Google hesaplarındaki hesap kimliklerinin ve kimlik doğrulama jetonlarının Chrome’daki WebData’nın token_service tablosundan alındığını ortaya çıkardı.
Bu tablo, istismarın işlevselliği açısından önemli olan iki sütunu içeriyor: hizmet (bir GAIA kimliği içeriyor) ve şifrelenmiş_token. İkincisinin şifresi, Chrome’un UserData dizininde bulunan Yerel Durum dosyasında saklanan bir anahtar kullanılarak çözülüyor.
GAIA kimlik çiftleri daha sonra, şifreler sıfırlandıktan sonra bile Google hizmeti çerezlerini sürekli olarak yeniden oluşturmak için MultiLogin ile birlikte kullanılabilir ve bunlar giriş yapmak için kullanılabilir.
CloudSEK’teki tehdit istihbaratı araştırmacısı Pavan Karthick M, keşfin siber suçluların yüksek düzeydeki karmaşıklığına dair kanıt sağladığını düşünüyor. Lumma’nın durumunda, her token:GAIA ID çifti kötü amaçlı yazılım tarafından şifreleniyor ve mekanizmanın daha ince ayrıntıları maskeleniyor.
Ancak daha yeni bir güncellemede Lumma, Google’ın token yenileme konusundaki IP tabanlı kısıtlamalarını aşmak için SOCKS proxy’lerini tanıttı. Bunu yaparak, kötü amaçlı yazılımın geliştiricileri artık istek ve yanıtların bazı ayrıntılarını açığa çıkarıyor ve potansiyel olarak işlevselliğin iç işleyişini gizlemeye yönelik önceki çabalarının bir kısmını geri alıyor.
Karthick, kötü amaçlı yazılımın C2’si ile MultiLogin arasındaki trafiğin şifrelenmesinin, standart güvenlik önlemlerinin kötü amaçlı etkinliği tespit etme şansını da azalttığını, çünkü şifrelenmiş trafiğin gözden kaçırılma olasılığının daha yüksek olduğunu söyledi.
“Bu istismarın temel bileşenini şifrelemeye yönelik taktiksel karar, daha gelişmiş, gizliliğe yönelik siber tehditlere yönelik kasıtlı bir hareketi gösteriyor.” diye ekledi. “Bu, kötü amaçlı yazılım geliştirme ortamında, istismar metodolojilerinin gizlenmesi ve korunmasına olduğu kadar, istismarların etkinliğine de giderek daha fazla vurgu yapıldığı bir değişime işaret ediyor.“
Google, oturum jetonlarınızın yerel kötü amaçlı yazılımlar tarafından çalınması durumunda yalnızca şifrenizi değiştirmemenizi, bu çerezleri geçersiz kılmak için çıkış yapmanızı ve/veya güvenliği ihlal edilmiş cihazlara erişimi iptal etmenizi doğruladı.
Bir sözcü, “Google, bir kötü amaçlı yazılım ailesinin oturum belirteçlerini çaldığına ilişkin son raporların farkında.” dedi.
“Çerezleri ve jetonları çalan kötü amaçlı yazılımları içeren saldırılar yeni değil; bu tür tekniklere karşı savunmamızı düzenli olarak yükseltiyor ve kötü amaçlı yazılım kurbanı olan kullanıcıların güvenliğini sağlıyoruz. Bu örnekte Google, tespit edilen güvenliği ihlal edilmiş hesapların güvenliğini sağlamak için harekete geçti.“
“Bu arada, kullanıcıların bilgisayarlarından kötü amaçlı yazılımları kaldırmak için sürekli olarak adımlar atması gerekiyor ve kimlik avı ve kötü amaçlı yazılım indirmelerine karşı koruma sağlamak için Chrome’da Gelişmiş Güvenli Tarama’yı açmanızı öneririz.“