Lumma 信息窃取恶意软件(又名“LummaC2”)正在推广一项新功能,据称该功能允许网络犯罪分子恢复过期的 Google cookie,从而可用于劫持 Google 帐户。会话 Cookie 是特定的 Web Cookie,用于允许浏览会话自动登录网站的服务。由于这些 cookie 允许拥有它们的任何人登录所有者的帐户,因此出于安全原因,它们的使用寿命通常有限,以防止被盗时被滥用。
恢复这些 cookie 将使 Lumma 操作员能够未经授权访问任何 Google 帐户,即使合法所有者已注销其帐户或会话已过期。
Hudson Rock 的 Alon Gal 首次发现 信息窃取者开发者在论坛发帖,重点介绍了已发布的更新11 月 14 日,声称“能够使用恢复文件中的密钥来恢复失效的 cookie(仅适用于 Google cookie)。”
此新功能仅适用于最高级别“企业”用户的订阅者。计划,网络犯罪分子为此付出的代价是 1,000 美元/月。
该论坛帖子还澄清,每个密钥可以使用两次,因此 cookie 恢复只能进行一次。这仍然足以对遵循良好安全实践的组织发起灾难性攻击。
据称在最近的 Lumma 版本中引入的这一新功能尚未得到安全研究人员或谷歌的验证,因此它是否如宣传的那样工作仍不确定。然而,值得一提的是,另一个窃取者 Rhadamanthys 在最近的更新中宣布了类似的功能,这增加了恶意软件作者发现可利用的安全漏洞的可能性。
BleepingComputer 已多次联系 Google,请求就恶意软件作者发现会话 cookie 中的漏洞的可能性发表评论,但我们尚未收到回复。联系 Google 几天后,Lumma 的开发人员发布了一个更新,声称这是一个额外的修复程序,可以绕过 Google 为防止 cookie 恢复而新引入的限制。BleepingComputer 还尝试更多地了解该功能的工作原理以及它直接从 Lumma 那里利用的弱点。然而,“支持代理”可以是“支持代理”。恶意软件操作的负责人拒绝透露任何相关信息。
当被问及拉达曼蒂斯最近添加的类似功能时,Lumma 的经纪人告诉我们,他们的竞争对手不小心从他们的窃取者那里复制了该功能。如果信息窃取者确实可以像宣传的那样恢复过期的 Google cookie,那么除了防止导致这些 cookie 被盗的恶意软件感染之外,在 Google 推出修复程序之前,用户无法采取任何措施来保护自己的帐户。预防措施包括避免从可疑网站下载 torrent 文件和可执行文件,以及跳过 Google 搜索中的推荐结果。
