Un nuevo malware de robo ha aparecido en escena informace y que, al hacerlo, explota un punto final no revelado de Google OAuth llamado MultiLogin para actualizar las cookies de autenticación caducadas e iniciar sesión en cuentas de usuario incluso si se ha restablecido la contraseña de la cuenta. El sitio web BleepingComputer informó al respecto.
A finales de noviembre del año pasado, BleepingComputer informó sobre un software espía llamado Lumma que puede restaurar las cookies de autenticación de Google que han caducado en ataques cibernéticos. Estos archivos permitirían a los ciberdelincuentes obtener acceso no autorizado a las cuentas de Google incluso después de que sus propietarios cierren sesión, restablezcan sus contraseñas o expiren su sesión. Al vincular a un informe del servidor CloudSEK, el sitio web ahora describe cómo funciona este ataque de día cero.
Galería de fotos
En resumen, la falla esencialmente permite que se instale malware en una computadora de escritorio para "extraer y decodificar las credenciales contenidas en la base de datos local de Google Chrome". CloudSEK ha descubierto un nuevo virus dirigido a los usuarios de Chrome para obtener acceso a las cuentas de Google. Este peligroso malware se basa en rastreadores de cookies.
La razón por la que esto puede suceder sin que los usuarios se den cuenta es porque el software espía mencionado anteriormente lo permite. Puede restaurar las cookies de Google caducadas utilizando una clave API de consulta recién descubierta. Para empeorar las cosas, los ciberdelincuentes pueden utilizar este exploit una vez más para acceder a su cuenta incluso si ha restablecido la contraseña de su cuenta de Google.
Te podría interesar
Según BleepingComputer, se ha puesto en contacto con Google varias veces sobre este problema de Google, pero aún no ha recibido respuesta.
