Uma técnica de exploração que está nas mãos de pelo menos seis quadrilhas cibercriminosas permite “reviver” cookies de acesso a contas do Google , possibilitando a invasão mesmo após a troca de senhas pelo usuário. Os ataques estão acontecendo, pelo menos, desde outubro do ano passado e envolveriam uma vulnerabilidade zero day nos sistemas da gigante.
- Criminosos usam link falso do Celular Seguro para aplicar golpes
- Com Brasil na mira, golpes com vírus bancários cresceram 20%
No centro dos ataques está um sistema do Google chamado MultiLogin, que permite o uso do perfil nos serviços da empresa para logar em diferentes plataformas. Em sistemas infectados, os bandidos são capazes de realizar a engenharia reversa de elementos específicos desse recurso, obtendo tokens de acesso e IDs de conta.
São estes os dados usados para “recriação” do cookies de sessão, que são armazenados no computador após um login bem-sucedido. Eles facilitam a navegação, sem exibir que o usuário insira suas informações todas as vezes que tentar acessar um serviço; nas mãos de cibercriminosos, porém, servem para permitir a invasão das contas mesmo que a vítima altere suas senhas.
-
Podcast Porta 101
: a equipe do Canaltech discute quinzenalmente assuntos relevantes, curiosos, e muitas vezes polêmicos, relacionados ao mundo da tecnologia, internet e inovação. Não deixe de acompanhar.
-
Os cookies de sessão têm validade limitada, mas como o malware é capaz de os recriar de forma sucessiva, o ataque também permite que os criminosos mantenham o acesso às contas comprometidas. Má notícia para usuários finais, mas principalmente para contas corporativas, por onde dados sigilosos podem ser obtidos de forma direta.
Medidas de segurança não teriam funcionado
As informações são da CloudSEK, empresa especializada em segurança digital, e indicam que até mesmo medidas tomadas pelo Google para conter os ataques foram ultrapassadas pelos cibercriminosos. A partir de um vírus ladrão de arquivos disponibilizado sob serviço pelo grupo Lumma, outras quadrilhas conhecidas, como Rhadamanthys, White Snake e Meduza também aplicam o método a suas ferramentas de exploração.
Acima disso, os bandidos responsáveis pela exploração inicial estariam adotando mecanismos avançados de ofuscação para que nem mesmo o método usado nos ataques seja descoberto. Assim, eles garantem maior eficácia nos golpes, na medida em que especialistas em segurança não são capazes de localizar facilmente como os dados são desviados.
Enquanto o relatório da CloudSEK não aponta exatamente o vetor usado para disseminação do vírus ladrão de dados, anúncios em mecanismos de busca , mensagens e e-mails de phishing costumam ser os meios preferidos dos bandidos. Como sempre, o ideal é manter o olho vivo, principalmente na hora de baixar arquivos anexos ou softwares fora dos sites oficiais de desenvolvedores.
Leia a matéria no Canaltech .
Trending no Canaltech:
- Espermatozoides quebram leis da física em descoberta surpreendente
- Exercício físico expande região cerebral de memória e aprendizagem
- Mickey em domínio público | Entenda a questão sobre o personagem
- Galaxy S24 Ultra ganha cartaz em quiosque no Brasil com destaque para IA
- IA para criar vídeos Pika está disponível para todos
- 8 modelos de planilhas prontas para controle de gastos mensais