Новая функция: инфостилер Lumma превращает истекшие куки в ключи к аккаунтам Google

Инфостилер Lumma (LummaC2) получил новую функцию, которая позволяет киберпреступнику восстанавливать истекшие cookie-файлы Google, что открывает возможность для несанкционированного доступа к учетным записям Google.

Сессионные куки, используемые для автоматического входа в веб-сервисы, обычно имеют ограниченный срок действия в целях безопасности. Восстановление таких cookie-файлов позволит оператору Lumma получить доступ к любой учетной записи Google даже после выхода пользователя из системы или истечения срока его сессии.

Соучредитель и технический директор компании Hudson Rock Алон Гал впервые обнаружил сообщение на форуме от разработчиков Lumma. В сообщении упоминается обновление, предоставляющее «возможность восстановить истекшие куки с помощью ключа из файлов восстановления (применяется только к кукам Google)».

Новая опция доступна только подписчикам наиболее дорогого тарифа «Корпоративный», стоимостью $1000 в месяц. Каждый ключ может использоваться дважды, что позволяет восстановить куки только один раз, но и этого достаточно для запуска атак на организации, даже если они следуют хорошим практикам безопасности.

Сообщение разработчика Lumma на форуме

Другой стилер, Rhadamanthys, также объявил о добавлении подобной функции, что увеличивает вероятность того, что авторы вредоносных программ обнаружили уязвимость в безопасности сессионных cookie-файлов.

Функция восстановления куки добавлена и в Rhadamanthys

Разработчики Lumma выпустили обновление, утверждая, что оно является дополнительной защитой от вновь введенных Google ограничений, предотвращающих восстановление cookie-файлов. Специалисты попытались обратиться к «службе поддержки» Lumma, чтобы узнать подробнее о том, как работает эта функция и какую уязвимость она использует. Однако, представители стилера отказались делиться информацией.

Если вредоносные программы действительно могут восстанавливать истекшие куки Google, пользователи не смогут защитить свои учетные записи до тех пор, пока Google не выпустит исправление. На данный момент единственным способом избежать кражи является соблюдение мер предосторожности, которые включают избегание загрузки торрент-файлов и исполняемых файлов с сомнительных веб-сайтов, а также пропуск рекламных результатов в Google Поиске.