Un nouveau logiciel malveillant mis au point par des pirates a pour but principal d'abuser d'un point de terminaison MultiLogin non documenté par Google OAuth afin de restaurer des cookies d'authentification et ainsi se connecter à des comptes Google. Le géant américain n'a pas mis longtemps à proposer un communiqué de réponse à ce propos.
Après le malware Lumma, dont on a pu aborder les tenants et aboutissants en novembre dernier, voilà qu'une nouvelle menace alarmante sur la sécurité des comptes Google, avec une méthode de piratage finalement similaire. Attention, car cette menace peut toucher tout le monde, et la réinitialisation du mot de passe ou l'authentification à deux facteurs n'a que peu d'incidence sur son mode de fonctionnement.
Un logiciel malveillant qui emploie les cookies pour s'emparer de votre compte
Un nouveau rapport détaillé et collaboratif entre BleepingComputer et CloudSEK/Hudson Rock révèle l'activité actuelle d'un malware dont le but est d'exploiter une vulnérabilité liée aux cookies de Google Chrome. L'idée est simple : une fois que le logiciel malveillant infecte votre ordinateur, il s'occupe par la suite de voler et décrypter vos informations de connexion, lesquelles sont stockées dans la base de données locale de Google Chrome. Une fois ces informations récupérées, elles sont ensuite utilisées pour envoyer une requête auprès d'une API de Google, afin de générer des cookies stables permettant d'authentifier votre compte, ce sans votre consentement.
Ainsi, cette méthode permet en somme à un pirate d'accéder à votre compte depuis n'importe quel appareil ou navigateur, que vous ayez modifié votre mot de passe, ou que vous employiez l'authentification à deux facteurs ou non.
Découverte pour la première fois en novembre dernier, cette brèche de sécurité de l'identification Google rencontre un succès certain auprès de certains groupes malveillants présents sur le Dark Web. BleepingComputer compte, jusqu'ici, 6 groupes différents qui exploitent cette faille de sécurité. Il est donc important de préciser une fois de plus la nécessité de faire bien attention aux logiciels que vous téléchargez en ligne pour éviter de devoir faire face à une telle situation. L'emploi d'un antivirus performant est également fortement conseillé.
Face à la brèche, Google répond
Il n'aura pas fallu longtemps pour que Google réponde directement aux informations mentionnées ci-dessus. « Les attaques de malwares
qui volent des cookies et des jetons d'identification ne sont pas
nouvelles, nous mettons à jour nos défenses contre de telles
techniques de manière régulière afin de sécuriser les
potentielles victimes de telles méthodes », commence le géant américain, pour se faire rassurant.
La firme tient ensuite à préciser que, contrairement à une idée reçue erronée, l'utilisateur peut bel et bien jouer un rôle pour combattre ce malware : « Il est important de noter une idée fausse mentionnée dans divers rapports selon laquelle les jetons et cookies volés ne peuvent pas être révoqués par l'utilisateur. Ceci est incorrect, car les sessions volées peuvent être invalidées en se déconnectant simplement du navigateur concerné, ou révoquées à distance via la page de gestion des appareils de l'utilisateur »�.
Pour conclure, Google appelle ses utilisateurs à employer la navigation sécurisée améliorée dans Chrome afin de se maximiser la protection face aux menaces de phishing ou le téléchargement de logiciels malveillants, comme celui qui nous intéresse aujourd'hui.
Source : BleepingComputer
