Novo tipo de ciberataque explora vulnerabilidade nos cookies do Google

Uma ameaça preocupante desafia a segurança das contas do Google: uma nova modalidade de ataque cibernético. Essa técnica, descoberta pela equipe da CloudSEK, permite que criminosos cibernéticos acessem informações confidenciais sem precisar de senhas, contornando as salvaguardas da autenticação de dois fatores.

Como funciona o método?

O cerne dessa vulnerabilidade reside nos cookies, componentes essenciais para rastreamento de usuários e otimização de experiências online. Os cookies de autenticação do Google, em particular, emergem como o ponto vulnerável. Eles normalmente garantem o acesso às contas sem a necessidade constante de inserir credenciais, mas agora se tornaram alvos desses ataques.

LEIA MAIS: Quando será lançado o Pix Automático? Saiba mais sobre a nova modalidade!

O ataque se apoia em uma funcionalidade pouco conhecida do Google OAuth, o “MultiLogin”. Este recurso, destinado à sincronização de contas em vários serviços do Google, é manipulado pelos invasores para acessar e decifrar tokens de login armazenados no banco de dados local do navegador Google Chrome.

Os criminosos, então, utilizam esses tokens para solicitar à API do Google a criação de cookies persistentes de autenticação. Esses cookies possibilitam o acesso ininterrupto às contas, resistindo inclusive à redefinição de senhas.

Grupos de malware, incluindo Lumma e Rhadamanthys, já implementaram essa tática. Revelada inicialmente em outubro de 2023 pelo agente de ameaças PRISMA, essa estratégia já foi adotada por pelo menos seis grupos especializados em roubo de informações, todos alegando a habilidade de regenerar cookies do Google por meio desse endpoint da API.

LEIA MAIS: Fim de uma era: 5 tecnologias que se despediram em 2023!

Como se proteger dos ataques?

Pavan Karthick M, especialista em inteligência de ameaças da CloudSEK, alerta que este exploit proporciona acesso prolongado aos serviços do Google, mesmo após a mudança da senha pelo usuário.

O pesquisador destaca a importância do monitoramento contínuo de vulnerabilidades técnicas e fontes de inteligência humana para combater ameaças cibernéticas emergentes.

Como medida preventiva, recomenda-se que os usuários removam qualquer software malicioso de seus sistemas e ativem a função de Navegação Segura Aprimorada no Chrome.