La última versión del malware infostealer Lumma tiene una característica bastante interesante: es capaz de restaurar las cookies de Google caducadas, que luego pueden utilizarse para acceder a la cuenta de Google de la víctima.
Los hallazgos proceden de investigadores de ciberseguridad de Hudson Rock, que han advertido de que podría suponer un desastre incluso para las organizaciones que siguen las mejores prácticas en términos de ciberseguridad.
El equipo descubrió un anuncio de la función publicado en un foro de la dark web que decía que la versión lanzada el 14 de noviembre puede "restaurar cookies muertas usando una clave de archivos de restauración." El anuncio subraya además que esto sólo se aplica a las cookies de Google.
Corrección (silenciosa) de errores
Los hackers interesados en adquirir esta versión del infostealer deben preparar 1.000 dólares, ya que es lo que cuesta la suscripción de un solo mes.
Los desarrolladores de Lumma explicaron además que cada cookie de sesión no puede utilizarse más de dos veces, lo que significa que sólo puede restaurarse una vez. Eso, sin embargo, es más que suficiente para montar un ataque devastador contra cualquier organización, comenta BleepingComputer.
Hasta ahora, Google ha guardado silencio sobre el asunto, pero es de esperar que esté trabajando en segundo plano para resolver el problema.
La compañía no ha hecho comentarios sobre los hallazgos, pero pocos días después de ser avisada, Lumma lanzó una nueva versión que se salta las restricciones "recién introducidas" por Google. Así que es seguro asumir que en este momento, es un poco de un ir y venir entre Google y Lumma.
Para empeorar las cosas, parece que Lumma no es el único ladrón de información con capacidad para restaurar cookies. Rhadamanthys anunció recientemente una función similar, lo que llevó a los medios de comunicación a especular que los hackers podrían haber encontrado una vulnerabilidad de seguridad. Los desarrolladores de Lumma no están de acuerdo, ya que en una conversación con BleepingComputer dijeron que Rhadamanthys copió descaradamente su diseño.
En este momento es difícil determinar si la función funciona como se anuncia o no. Para estar seguro, asegúrate de descargar sólo programas y aplicaciones de fuentes verificadas.
