Un preoccupante exploit zero-day che minaccia la sicurezza degli account Google è stato inizialmente presentato da un criminale informatico conosciuto come "PRISMA" nell'ottobre del 2023. Questo exploit ha guadagnato notorietà per la sua capacità di mantenere l'accesso agli account delle vittime anche dopo che hanno cambiato le loro password.
Il malware sfrutta questa vulnerabilità per accedere nuovamente agli account delle vittime e generare nuovi token di sessione, principalmente su Windows. Questi malware "ruba-informazioni" operano silenziosamente sul computer della vittima, cercando e sottraendo informazioni sensibili come credenziali di desktop remoto, cookie di siti web e portafogli crittografici.
La radice di questo exploit è stata individuata nell'endpoint OAuth "MultiLogin" di Google. L'exploit si basa sul furto dei token di sessione delle vittime, che vengono estratti dal file Local State di Chrome: anche se l'utente cambia la password di Google, il malware può utilizzare questi token per accedere nuovamente agli account.
I ricercatori di CloudSEK hanno scoperto che il malware crittografa le coppie token:GAIA ID, mascherando così il suo funzionamento interno. Lumma, uno dei malware coinvolti, ha recentemente introdotto proxy SOCKS per eludere le restrizioni IP di Google sulla rigenerazione dei token, evidenziando la costante evoluzione di queste minacce.
Pavan Karthick M, ricercatore di intelligence sulle minacce presso CloudSEK, sottolinea la sofisticazione dei criminali informatici dietro a questo exploit. La crittografia del traffico tra il malware e MultiLogin contribuisce a nascondere l'attività dannosa, dimostrando una chiara tendenza verso minacce informatiche avanzate e stealth.
Via The Register
Potrebbe interessarti anche
- I migliori antivirus del 2024
- Le migliori VPN
- I migliori browser
