Plusieurs souches de logiciels malveillants voleurs d'informations exploitent activement un point de terminaison Google OAuth non documenté nommé MultiLogin pour prendre le contrôle des comptes Google même après une réinitialisation du mot de passe.

Comme le rapporte BleepingComputer, cet exploit permet à certaines souches de logiciels malveillants de restaurer les cookies d'authentification expirés qui sont ensuite utilisés pour se connecter aux comptes Google des victimes.

Parmi les différents cookies de navigateur utilisés sur le Web, les cookies de session sont un type spécial de cookies qui contiennent des informations d'authentification. Si vous avez déjà ouvert votre navigateur et accédé directement à un site sur lequel vous vous êtes précédemment connecté, cela se fait à l'aide de cookies de session. Cependant, ces types de cookies sont conçus pour avoir une courte durée de vie avant d'expirer afin qu'ils ne puissent pas être utilisés par des pirates informatiques pour se connecter indéfiniment à des comptes volés.

En novembre de l'année dernière, les cybercriminels à l'origine des souches de logiciels malveillants Lumma et Rhadamanthys ont affirmé qu'ils étaient capables de restaurer les cookies d'authentification Google expirés qui avaient été volés lors de cyberattaques. Cependant, avec ces cookies en main, un pirate informatique peut obtenir un accès non autorisé à votre compte Google même après que vous vous soyez déconnecté, réinitialisez votre mot de passe ou que sa session ait expiré.

Restauration des cookies d'authentification Google expirés

Afin de mieux expliquer comment les pirates informatiques utilisent ce nouvel exploit zero-day, la société de cybersécurité CloudSEK a publié un nouveau rapport.

Dans le rapport, les chercheurs de la société expliquent que l'exploit a été révélé pour la première fois par un acteur malveillant appelé PRISMA dans un article sur Telegram en octobre de l'année dernière. Dans le message, ils ont expliqué avoir trouvé un moyen de restaurer les cookies d'authentification Google qui avaient expiré.

À partir de là, CloudSEK a ensuite procédé à une ingénierie inverse de l'exploit, ce qui a conduit à la découverte qu'il utilise un point de terminaison Google OAuth non documenté nommé MultiLogin, utilisé pour synchroniser les comptes sur un certain nombre de services Google différents.

En abusant de ce point de terminaison, les logiciels malveillants voleurs d'informations sont capables d'extraire des jetons et des identifiants de compte des profils Chrome connectés à un compte Google. Ces informations volées contiennent deux éléments de données critiques : un identifiant GAIA et des jetons cryptés. Ces jetons cryptés sont déchiffrés à l'aide d'un cryptage stocké dans le fichier « Local State » de Chrome et cette clé de cryptage peut également être utilisée pour déchiffrer les mots de passe enregistrés dans le navigateur d'une victime.

En utilisant les jetons volés et le point de terminaison MultiLogin de Google, les pirates peuvent régénérer les cookies du service Google expirés et maintenir un accès persistant aux comptes compromis. Il convient cependant de noter qu'un cookie d'authentification ne peut être régénéré qu'une seule fois si un utilisateur réinitialise son mot de passe Google. Si ce n’est pas le cas, il peut être régénéré plusieurs fois.

Comment se protéger des attaques exploitant cette faille zero-day

Meilleur logiciel antivirus

Heureusement, Google est conscient de ce problème et dans une déclaration à The Hacker News, un porte-parole de l'entreprise a fourni plus de détails ainsi que quelques conseils sur la façon dont les utilisateurs peuvent se protéger lorsqu'ils utilisent Chrome.

Le vol de cookies et de jetons de session n’a rien de nouveau et, comme le souligne le géant de la recherche, il a « pris des mesures pour sécuriser tous les comptes compromis détectés ». De même, le porte-parole de Google souligne que « la simple déconnexion du navigateur concerné » révoquera les cookies de session d'un utilisateur. Dans le même temps, la société recommande aux utilisateurs d'activer la navigation sécurisée améliorée dans Chrome pour une protection supplémentaire contre les logiciels malveillants et les attaques de phishing.

Vous devez également modifier régulièrement votre mot de passe Google pour protéger votre compte des pirates informatiques. Si vous avez du mal à trouver de nouveaux mots de passe, un générateur de mots de passe peut vous aider et tous les meilleurs gestionnaires de mots de passe proposent également cette fonctionnalité. Quant à vous protéger, vous et vos appareils, contre les logiciels malveillants et les pirates, vous devez utiliser le meilleur logiciel antivirus sur votre PC, le meilleur logiciel antivirus Mac sur vos ordinateurs Apple et l'une des meilleures applications antivirus Android sur votre smartphone Android.

Maintenant que les pirates ont compris comment ajouter la possibilité de restaurer les cookies de session à leurs logiciels malveillants, attendez-vous à ce que davantage de souches de logiciels malveillants adoptent cette fonctionnalité alors que Google s'efforce de lutter contre le vol de cookies et de jetons dans Chrome.