В конце декабря 2023 года стало мы писали о злоупотреблении неудокументированным API Google Chrome вредоносным программным обеспечением. Отмечается, что две операции по краже данных, Lumma и Rhadamanthys, используют API для восстановления истекших учетных данных Google, украденных в ходе атак.
После этого сообщения, ещё четыре программы-вымогателя – Stealc, Medusa, RisePro и Whitesnake – также начали применять аналогичную технику. Специалисты ИБ-компании CloudSEK выявили, что вредоносные программы используют API Google OAuth “MultiLogin” для создания новых рабочих cookie-файлов аутентификации, когда срок действия исходных украденных cookie-файлов Google жертвы истекает.
Указанный API предназначен для синхронизации аккаунтов разных сервисов Google. Вредоносные программы крадут не только аутентификационные куки для сайтов Google, но и специальный токен, который может использоваться для обновления или создания новых токенов аутентификации. Специалистам не удалось узнать больше об этом API у Google, а единственную документацию можно найти в исходном коде Google Chrome.
Информация о MultiLogin в исходном коде Google Chrome
Google в своем заявлении подтвердила свою осведомленность о ситуации, однако относится к проблеме как к обычной краже куки через вредоносное ПО. Компания уверяет, что регулярно обновляет свои защитные механизмы и помогает пользователям, пострадавшим от вредоносного ПО.
Google рекомендует пользователям выходить из своего аккаунта Chrome на затронутых устройствах и аннулировать все активные сессии через меню “Мои устройства”, что сделает токен Refresh недействительным для использования с API. Кроме того, Google советует изменить пароль, особенно если он использовался на других сайтах.
Тем не менее, многие затронутые пользователи не знают, когда и как предпринять предложенные меры. Часто они узнают о заражении только после того, как их аккаунты были взломаны и использованы неправомерно. Примером может служить случай с сотрудником Orange Spain, когда заражение стало известно только после использования украденных учетных данных для входа в аккаунт компании и изменения ее конфигурации BGP, что привело к сбоям в интернет-сервисах.
На данный момент Google уведомляет пострадавших от злоупотребления API, но остается вопрос о том, как будут уведомлены будущие жертвы и как они узнают о необходимости выхода из браузера для аннулирования токенов аутентификации.
Многие специалисты считают, что лучшим решением было бы ограничение доступа к упомянутому API, чтобы предотвратить его эсплуатацию. Однако на данный момент нет информации о том, что Google планирует предпринять такие шаги. Google не ответила на вопросы о своих планах по борьбе со злоупотреблениями API.