- 14,097
- 20
- 8 Ноя 2022
От потери аккаунта не поможет даже смена пароля.
В конце декабря 2023 года стало Для просмотра ссылки Войдиили Зарегистрируйся вредоносным программным обеспечением. Отмечается, что две операции по краже данных, Lumma и Rhadamanthys , используют API для восстановления истекших учетных данных Google , украденных в ходе атак.
После этого сообщения, ещё четыре программы-вымогателя – Stealc, Medusa, RisePro и Whitesnake – также начали применять аналогичную технику. Специалисты ИБ-компании CloudSEK выявили, что Для просмотра ссылки Войдиили Зарегистрируйся API Google OAuth «MultiLogin» для создания новых рабочих cookie-файлов аутентификации, когда срок действия исходных украденных cookie-файлов Google жертвы истекает.
Указанный API предназначен для синхронизации аккаунтов разных сервисов Google. Вредоносные программы крадут не только аутентификационные куки для сайтов Google, но и специальный токен, который может использоваться для обновления или создания новых токенов аутентификации. Специалистам не удалось узнать больше об этом API у Google, а единственную документацию можно найти Для просмотра ссылки Войдиили Зарегистрируйся Google Chrome.
Информация о MultiLogin в исходном коде Google Chrome
Google в своем заявлении подтвердила свою осведомленность о ситуации, однако относится к проблеме как к обычной краже куки через вредоносное ПО. Компания уверяет, что регулярно обновляет свои защитные механизмы и помогает пользователям, пострадавшим от вредоносного ПО.
Google рекомендует пользователям выходить из своего аккаунта Chrome на затронутых устройствах и аннулировать все активные сессии Для просмотра ссылки Войдиили Зарегистрируйся «Мои устройства», что сделает токен Refresh недействительным для использования с API. Кроме того, Google советует изменить пароль, особенно если он использовался на других сайтах.
Тем не менее, многие затронутые пользователи не знают, когда и как предпринять предложенные меры. Часто они узнают о заражении только после того, как их аккаунты были взломаны и использованы неправомерно. Примером может служить случай с сотрудником Orange Spain, когда Для просмотра ссылки Войдиили Зарегистрируйся для входа в аккаунт компании и изменения ее конфигурации BGP, что привело к сбоям в интернет-сервисах.
На данный момент Google уведомляет пострадавших от злоупотребления API, но остается вопрос о том, как будут уведомлены будущие жертвы и как они узнают о необходимости выхода из браузера для аннулирования токенов аутентификации.
Многие специалисты считают, что лучшим решением было бы ограничение доступа к упомянутому API, чтобы предотвратить его эсплуатацию. Однако на данный момент нет информации о том, что Google планирует предпринять такие шаги. Google не ответила на вопросы о своих планах по борьбе со злоупотреблениями API.
В конце декабря 2023 года стало Для просмотра ссылки Войди
После этого сообщения, ещё четыре программы-вымогателя – Stealc, Medusa, RisePro и Whitesnake – также начали применять аналогичную технику. Специалисты ИБ-компании CloudSEK выявили, что Для просмотра ссылки Войди
Указанный API предназначен для синхронизации аккаунтов разных сервисов Google. Вредоносные программы крадут не только аутентификационные куки для сайтов Google, но и специальный токен, который может использоваться для обновления или создания новых токенов аутентификации. Специалистам не удалось узнать больше об этом API у Google, а единственную документацию можно найти Для просмотра ссылки Войди
Информация о MultiLogin в исходном коде Google Chrome
Google в своем заявлении подтвердила свою осведомленность о ситуации, однако относится к проблеме как к обычной краже куки через вредоносное ПО. Компания уверяет, что регулярно обновляет свои защитные механизмы и помогает пользователям, пострадавшим от вредоносного ПО.
Google рекомендует пользователям выходить из своего аккаунта Chrome на затронутых устройствах и аннулировать все активные сессии Для просмотра ссылки Войди
Тем не менее, многие затронутые пользователи не знают, когда и как предпринять предложенные меры. Часто они узнают о заражении только после того, как их аккаунты были взломаны и использованы неправомерно. Примером может служить случай с сотрудником Orange Spain, когда Для просмотра ссылки Войди
На данный момент Google уведомляет пострадавших от злоупотребления API, но остается вопрос о том, как будут уведомлены будущие жертвы и как они узнают о необходимости выхода из браузера для аннулирования токенов аутентификации.
Многие специалисты считают, что лучшим решением было бы ограничение доступа к упомянутому API, чтобы предотвратить его эсплуатацию. Однако на данный момент нет информации о том, что Google планирует предпринять такие шаги. Google не ответила на вопросы о своих планах по борьбе со злоупотреблениями API.
- Источник новости
- www.securitylab.ru
