Секретный API Google Chrome позволяет незаметно воровать ваши данные

В конце декабря 2023 года стало мы писали о злоупотреблении неудокументированным API Google Chrome вредоносным программным обеспечением. Отмечается, что две операции по краже данных, Lumma и Rhadamanthys, используют API для восстановления истекших учетных данных Google, украденных в ходе атак.

После этого сообщения, ещё четыре программы-вымогателя – Stealc, Medusa, RisePro и Whitesnake – также начали применять аналогичную технику. Специалисты ИБ-компании CloudSEK выявили, что вредоносные программы используют API Google OAuth «MultiLogin» для создания новых рабочих cookie-файлов аутентификации, когда срок действия исходных украденных cookie-файлов Google жертвы истекает.

Указанный API предназначен для синхронизации аккаунтов разных сервисов Google. Вредоносные программы крадут не только аутентификационные куки для сайтов Google, но и специальный токен, который может использоваться для обновления или создания новых токенов аутентификации. Специалистам не удалось узнать больше об этом API у Google, а единственную документацию можно найти в исходном коде Google Chrome.

Информация о MultiLogin в исходном коде Google Chrome

Google в своем заявлении подтвердила свою осведомленность о ситуации, однако относится к проблеме как к обычной краже куки через вредоносное ПО. Компания уверяет, что регулярно обновляет свои защитные механизмы и помогает пользователям, пострадавшим от вредоносного ПО.

Google рекомендует пользователям выходить из своего аккаунта Chrome на затронутых устройствах и аннулировать все активные сессии через меню «Мои устройства», что сделает токен Refresh недействительным для использования с API. Кроме того, Google советует изменить пароль, особенно если он использовался на других сайтах.

Тем не менее, многие затронутые пользователи не знают, когда и как предпринять предложенные меры. Часто они узнают о заражении только после того, как их аккаунты были взломаны и использованы неправомерно. Примером может служить случай с сотрудником Orange Spain, когда заражение стало известно только после использования украденных учетных данных для входа в аккаунт компании и изменения ее конфигурации BGP, что привело к сбоям в интернет-сервисах.

На данный момент Google уведомляет пострадавших от злоупотребления API, но остается вопрос о том, как будут уведомлены будущие жертвы и как они узнают о необходимости выхода из браузера для аннулирования токенов аутентификации.

Многие специалисты считают, что лучшим решением было бы ограничение доступа к упомянутому API, чтобы предотвратить его эсплуатацию. Однако на данный момент нет информации о том, что Google планирует предпринять такие шаги. Google не ответила на вопросы о своих планах по борьбе со злоупотреблениями API.