Une menace alarmante plane sur la sécurité des comptes Google, alors que le malware Lumma prétend restaurer les cookies expirés, ce qui offre aux cybercriminels une opportunité de pirater des comptes du géant américain.
Le logiciel malveillant Lumma, également connu sous le nom de LummaC2, est à ranger dans la catégorie des « voleurs d'informations » (infostealer). Ces derniers temps, il inquiète la communauté cyber en ce qu'il prétend être capable de restaurer les cookies Google expirés, une manipulation qui pourrait permettre aux cybercriminels de compromettre les comptes Google même après que les utilisateurs légitimes se soient déconnectés. Cette fonctionnalité, qui a été dévoilée par les développeurs du malware le 14 novembre, est accessible aux pirates qui détiennent un abonnement à 1 000 dollars par mois.
Les pirates peuvent exfiltrer les cookies Google des appareils infectés, même si le mot de passe a été changé
De quoi parle-t-on ? « Il s'agit d'un moyen d’exfiltrer les cookies Google des ordinateurs infectés qui n’expireront pas ou ne seront pas révoqués même si le propriétaire change de mot de passe », explique Alon Gal.
Le directeur technique d'Hudson Rock, société spécialisée en threat intelligence a identifié ce risque en découvrant un message sur un forum sur lequel les développeurs de Lumma vantent leur capacité à restaurer les cookies expirés à l'aide d'une clé spécifique. Cette clé, limitée à deux utilisations, s'applique uniquement aux cookies Google. Bien que la vérification de cette fonctionnalité soit en attente chez Google, l'annonce de la similitude avec une fonctionnalité de Rhadamanthys, un autre infostealer, renforce les inquiétudes quant à la découverte d'une faille exploitable par les auteurs de logiciels malveillants.
Le doute persiste, certes, mais cette prétendue fonctionnalité pourrait potentiellement contourner les bonnes pratiques de sécurité, même pour des organisations suivant des protocoles stricts. Les cookies de session jouent un rôle crucial dans la sécurité des comptes Google, et leur manipulation pourrait entraîner des conséquences catastrophiques.
Nos confrères de BleepingComputer ont bien tenté de solliciter une réponse de la firme de Mountain View sur cette vulnérabilité apparente dans les cookies de session, mais en vain.
Plusieurs malwares revendiquent la même fonctionnalité, ce qui invite d'autant plus à la prudence
Interrogé sur la similarité avec la fonctionnalité de Rhadamanthys, un agent de Lumma a accusé ses concurrents de copier leur innovation en faisant preuve de négligence. Cette rivalité entre malwares soulève en tout cas des questions quant à la provenance réelle de cette technique et à sa validité. Cela souligne aussi l'urgence de comprendre les vulnérabilités potentielles des cookies Google et la nécessité d'une réponse de Google pour protéger les utilisateurs.
Et jusqu'à ce que Google propose un correctif, les utilisateurs restent impuissants à protéger leurs comptes. Parmi les précautions suggérées, il est recommandé d'éviter de télécharger des fichiers torrent et des exécutables depuis des sites douteux. Mieux vaut aussi prendre garde aux résultats de recherche Google promus.
L'intérêt d'être vigilant est d'autant plus grand que « les cookies de Google ne sont pas seulement destinés aux comptes de messagerie, mais plutôt à un large éventail de services qui seront désormais beaucoup plus facilement accessibles aux pirates », conclut Alon Gal.
Sources : LinkedIn @AlonGan, BleepingComputer
