【安全圈】谷歌OAuth端点漏洞暴露用户账户,多个黑客团伙滥用漏洞窃取信息
【安全圈】谷歌OAuth端点漏洞暴露用户账户,多个黑客团伙滥用漏洞窃取信息
安全圈 2024-01-02 19:00
关键词
黑客攻击
近期,多个恶意软件团伙纷纷利用一个名为”MultiLogin”的未记录的Google OAuth端点漏洞,恢复已过期的身份验证cookie,进而获取用户账户信息。即便用户已重置密码或会话过期,黑客仍能成功登录。
会话cookie是一种特殊类型的浏览器cookie,包含身份验证信息,允许用户在不输入凭据的情况下自动登录。尽管这类cookie有时间限制,但该漏洞使得黑客能够在未经授权的情况下持续访问谷歌账户。
Lumma和Rhadamanthys黑客团队于2023年11月下旬声称可以恢复在攻击中被盗的过期Google身份验证cookie,此举引起了严重关注。CloudSEK研究人员发表的报告详细解释了漏洞的工作原理,揭示了被大规模滥用的后果。
漏洞的首次披露可追溯至2023年10月20日,由名为PRISMA的黑客在Telegram上发布消息。CloudSEK的逆向工程揭示,该漏洞使用了未注明谷歌OAuth端点的“MultiLogin”,通过接收账户ID和auth-login标记向量来同步不同Google服务之间的帐户。
该漏洞利用了Gaia Auth API的一部分,用于在多个Google网站中设置浏览器中的Chrome帐户的Google身份验证cookie。此请求触发条件是cookie中的帐户与浏览器中的帐户不一致。
通过窃取的token,威胁行为者可以重新生成过期的Google Service cookies,即使用户重置密码,身份验证cookie也可多次重新生成。
Lumma stealer于11月14日首次利用该漏洞,其开发人员采用了黑盒技术,如用私钥加密token:GAIA对,以保护机制不被竞争对手复制。随后,其他团队如Radamanthys、Stealc、Medusa、RisePro和Whitesnake相继效仿,并发布了更新版本以逃避Google滥用检测措施。
目前,至少有6个黑客团队声称能够使用此API端点重新生成Google cookie。由于Google尚未确认MultiLogin端点是否被滥用,该漏洞的利用状况和修复措施仍存在不确定性。
END
阅读推荐
【安全圈】原价 270 多元的会员,只需 1 元?有人疯狂下单!真相大跌眼镜
【安全圈】执法部门采取强有力手段,BlackCat 勒索软件网站已关闭
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!