O vírus trigonométrico LummaC2 aprendeu a sequestrar contas do Google usando cookies expirados

O vírus LummaC2, que foi recentemente atualizado para a quarta versão, o que dificulta o estudo por métodos trigonométricos, recebeu um recurso exclusivo – a capacidade de roubar contas do Google usando cookies expirados.

Fonte da imagem: Pete Linforth / pixabay.com

Os cookies de sessão permitem que você faça login automaticamente em vários serviços da web ao usar seu navegador. Este é um recurso potencialmente perigoso e esses arquivos geralmente têm uma data de validade limitada por motivos de segurança, para evitar que sejam usados ​​indevidamente em caso de roubo. A restauração desses arquivos permite que os operadores do vírus LummaC2 tenham acesso não autorizado a uma conta do Google depois que seu proprietário tiver saído da conta ou o arquivo expirar.

A versão atualizada do malware, que apareceu em 14 de novembro, permite essa operação apenas para contas Google. O recurso está incluído na versão “empresarial” do LummaC2, que custa US$ 1.000 por mês. Os criadores do vírus enfatizam que os cookies de sessão não podem ser usados ​​mais do que duas vezes, o que significa que o arquivo recuperado só funcionará uma vez. Mas isso é suficiente para realizar um ataque eficaz aos recursos de qualquer organização na infraestrutura do Google.

Curiosamente, o Google tomou conhecimento disso e fez algumas alterações no sistema de login de suas contas, mas alguns dias depois os desenvolvedores do LummaC2 lançaram uma atualização que contorna as novas restrições do Google. Observa-se também que outro vírus “comercial” chamado Rhadamanthys tem a capacidade de roubar contas do Google usando cookies expirados. Isso deu motivos para supor que algum tipo de vulnerabilidade apareceu na infraestrutura do gigante das buscas, mas os desenvolvedores do LummaC2 afirmam que os concorrentes simplesmente roubaram seu algoritmo.