Theo CloudSEK, hành động này đã tạo điều kiện để duy trì phiên và tạo cookie, cho phép các tác nhân đe dọa duy trì quyền truy cập vào phiên hợp lệ một cách trái phép. Kỹ thuật lạm dụng này lần đầu tiên được tiết lộ bởi một tài khoản có tên PRISMA vào ngày 20/10/2023, trên kênh Telegram của họ. Kể từ đó, nó đã được tích hợp vào nhiều trình đánh cắp thông tin cho các phần mềm độc hại dưới dạng dịch vụ (MaaS) khác nhau, chẳng hạn như Lumma, Rhadamanthys, Stealc, Meduza, RisePro và WhiteSnake.
Điểm cuối xác thực MultiLogin được thiết kế chủ yếu để đồng bộ hóa tài khoản Google trên các dịch vụ khi người dùng đăng nhập vào tài khoản cá nhân trong trình duyệt web Chrome.
Nhà nghiên cứu bảo mật Pavan Karthick M cho biết, kỹ thuật dịch ngược mã Lumma Stealer đã nhắm mục tiêu vào bảng token_service WebData của Chrome để trích xuất mã thông báo và ID tài khoản của các cấu hình Chrome đã đăng nhập. Bảng này chứa hai cột quan trọng là: service (GAIA ID) và encrypted_token. Sau đó, mã thông báo GAIA ID này được kết hợp với điểm cuối MultiLogin để tạo lại cookie xác thực Google.
Karthick nêu ra ba kịch bản tạo mã thông báo cookie khác nhau đã được thử nghiệm:
- Trong trường hợp người dùng đăng nhập bằng trình duyệt, mã thông báo có thể được sử dụng vô số lần.
- Khi người dùng thay đổi mật khẩu nhưng cho phép Google duy trì trạng thái đăng nhập, trong trường hợp này, mã thông báo chỉ có thể được sử dụng một lần vì nó đã được sử dụng để cho phép người dùng duy trì trạng thái đăng nhập.
- Nếu người dùng đăng xuất khỏi trình duyệt thì mã thông báo sẽ bị thu hồi và xóa khỏi bộ nhớ của trình duyệt, mã thông báo này sẽ được tạo lại khi đăng nhập lại.
Karthick cho biết: “Chúng tôi khuyên người dùng nên thay đổi mật khẩu để các tác nhân đe dọa không sử dụng các luồng xác thực đặt lại mật khẩu để khôi phục mật khẩu. Ngoài ra, người dùng nên theo dõi hoạt động tài khoản của mình để phát hiện các phiên đáng ngờ đến từ IP và vị trí mà họ không nhận ra”.
Về phía Google, công ty cũng đã thừa nhận sự tồn tại của phương thức tấn công nhưng lưu ý rằng người dùng có thể thu hồi các phiên bị đánh cắp bằng cách đăng xuất khỏi trình duyệt bị ảnh hưởng.
Google cho biết đã nhận được các báo cáo gần đây về một nhóm phần mềm độc hại đánh cắp mã thông báo phiên và đánh giá các cuộc tấn công đánh cắp cookie và mã thông báo không phải là mới. Google thường xuyên nâng cấp hệ thống phòng thủ của mình chống lại các kỹ thuật như vậy và để bảo vệ những người dùng trở thành nạn nhân của phần mềm độc hại. Trong trường hợp này, Google đã thực hiện các thao tác để bảo mật mọi tài khoản bị xâm phạm được phát hiện. Công ty còn khuyến nghị người dùng bật tính năng Enhanced Safe Browsing hay duyệt web an toàn nâng cao trong Chrome để bảo vệ cũng như tránh tải xuống phần mềm độc hại và lừa đảo.
Bá Phúc
(The Hacker News)
09:00 | 18/07/2024
15:00 | 26/10/2023
18:00 | 22/09/2023
09:00 | 08/11/2024
14:00 | 17/08/2023
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
10:00 | 11/12/2024
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
14:00 | 27/11/2024
Công ty an ninh mạng BlackBerry (Canada) cho biết, nhóm tin tặc APT41 của Trung Quốc đứng sau phần mềm độc hại LightSpy iOS đã mở rộng bộ công cụ của chúng bằng DeepData, một framework khai thác mô-đun trên Windows, được sử dụng để thu thập nhiều loại thông tin từ các thiết bị mục tiêu. Bài viết này sẽ tìm hiểu về các plugin DeepData dựa trên báo cáo của BlackBerry.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025