Разработки стилера Lumma (он же LummaC2) рекламируют новую функцию, которая якобы позволяет восстанавливать устаревшие cookie Google, которые затем можно использовать для взлома учетных записей жертв.
Обычно сессионные файлы cookie имеют ограниченный срок действия из соображений безопасности, чтобы предотвратить возможные злоупотребления в случае их кражи. Дело в том, что эти cookie могут позволить любому постороннему войти в учетную запись пользователя, которому они принадлежат.
Фактически восстановление таких cookies позволяет операторам Lumma получить несанкционированный доступ к любому аккаунту Google даже после того, как настоящий пользователь вышел из учетной записи, а его сессия истекла.
Первым на рекламу этой функции, появившуюся на хак-форуме, обратил внимание ИБ-исследователь из компании Hudson Rock Алон Гал (Alon Gal). 14 ноября разработчики Lumma сообщили, что выпустили обновление, которое позволяет «восстанавливать «мертвые» cookie с помощью ключей из из файлов Restore (применимо только к cookie Google)».
В сообщении уточняется, что один ключ можно использовать только дважды, так что восстановление cookie-файлов может быть произведено только один раз.
Новая функция доступна только для подписчиков тарифного плана «Корпоративный», стоимость которого составляет 1000 долларов в месяц.
Издание Bleeping Computer обращает внимание, что заявления разработчиков Lumma пока не подтверждены и не опровергнуты ИБ-специалистами или представителями Google, поэтому вопрос о том, работает ли эта функция так, как заявлено, остается открытым.
Однако журналисты отмечают, что недавно создатели другого стилера, Rhadamanthys, тоже заявили, что добавили аналогичную функциональность в свежем обновлении. Это повышает вероятность того, что разработчики малвари действительно обнаружили и эксплуатируют некую проблему.
Представители Bleeping Computer неоднократно пытались связаться со специалистам компании Google с просьбой прокомментировать заявления хакеров и теоретическую уязвимость, связанную с сессионными cookie, однако не получили ответа.
Интересно, что через несколько дней после того как издание обратилось в Google, разработчики Lumma выпустили обновление, в котором заявили, что оно обходит некие недавно введенные Google ограничения, препятствующие восстановлению cookie.
Также журналисты попытались узнать у самих хакеров, как именно работает эта функция, и какие уязвимости она использует. Представители группировки отказались отвечать на эти вопросы, но сообщили, что их конкуренты, создатели Rhadamantis, попросту скопировали эту функцию из стилера Lumma.
Журналисты резюмируют, что если стилеры действительно научились восстанавливать устаревшие файлы cookie Google, как заявлено в рекламе, то пользователи не смогут сделать для защиты своих учетных записей ничего, только предотвратить заражение своих систем вредоносным ПО, которое и похищает эти самые cookie.
Обычно сессионные файлы cookie имеют ограниченный срок действия из соображений безопасности, чтобы предотвратить возможные злоупотребления в случае их кражи. Дело в том, что эти cookie могут позволить любому постороннему войти в учетную запись пользователя, которому они принадлежат.
Фактически восстановление таких cookies позволяет операторам Lumma получить несанкционированный доступ к любому аккаунту Google даже после того, как настоящий пользователь вышел из учетной записи, а его сессия истекла.
Первым на рекламу этой функции, появившуюся на хак-форуме, обратил внимание ИБ-исследователь из компании Hudson Rock Алон Гал (Alon Gal). 14 ноября разработчики Lumma сообщили, что выпустили обновление, которое позволяет «восстанавливать «мертвые» cookie с помощью ключей из из файлов Restore (применимо только к cookie Google)».
В сообщении уточняется, что один ключ можно использовать только дважды, так что восстановление cookie-файлов может быть произведено только один раз.
Новая функция доступна только для подписчиков тарифного плана «Корпоративный», стоимость которого составляет 1000 долларов в месяц.
Издание Bleeping Computer обращает внимание, что заявления разработчиков Lumma пока не подтверждены и не опровергнуты ИБ-специалистами или представителями Google, поэтому вопрос о том, работает ли эта функция так, как заявлено, остается открытым.
Однако журналисты отмечают, что недавно создатели другого стилера, Rhadamanthys, тоже заявили, что добавили аналогичную функциональность в свежем обновлении. Это повышает вероятность того, что разработчики малвари действительно обнаружили и эксплуатируют некую проблему.
Представители Bleeping Computer неоднократно пытались связаться со специалистам компании Google с просьбой прокомментировать заявления хакеров и теоретическую уязвимость, связанную с сессионными cookie, однако не получили ответа.
Интересно, что через несколько дней после того как издание обратилось в Google, разработчики Lumma выпустили обновление, в котором заявили, что оно обходит некие недавно введенные Google ограничения, препятствующие восстановлению cookie.
Также журналисты попытались узнать у самих хакеров, как именно работает эта функция, и какие уязвимости она использует. Представители группировки отказались отвечать на эти вопросы, но сообщили, что их конкуренты, создатели Rhadamantis, попросту скопировали эту функцию из стилера Lumma.
Журналисты резюмируют, что если стилеры действительно научились восстанавливать устаревшие файлы cookie Google, как заявлено в рекламе, то пользователи не смогут сделать для защиты своих учетных записей ничего, только предотвратить заражение своих систем вредоносным ПО, которое и похищает эти самые cookie.
