Malware pencuri informasi saat ini aktif memanfaatkan titik akhir Google OAuth yang tidak terdokumentasi, dikenal sebagai MultiLogin, untuk mencuri sesi pengguna dan memberikan akses terus-menerus ke layanan Google bahkan setelah sandi diatur ulang.
Menurut CloudSEK, eksploitasi ini memungkinkan pembuatan cookie dan persistensi sesi, sehingga pelaku ancaman dapat terus mengakses sesi yang valid secara ilegal.
Pertama kali diungkapkan oleh pelaku ancaman bernama PRISMA pada 20 Oktober 2023 melalui saluran Telegram, malware tersebut telah dimasukkan ke dalam berbagai keluarga pencuri malware sebagai layanan (MaaS), termasuk Lumma, Rhadamanthys, Stealc, Meduza, RisePro, dan WhiteSnake.
Baca Juga : Informasi Diplomatik Jepang Terbocor setelah Serangan Siber China: Tantangan Keamanan Digital
Titik akhir autentikasi MultiLogin utamanya dirancang untuk menyinkronkan akun Google di berbagai layanan saat pengguna masuk ke akun mereka di browser web Chrome (profil).
Melalui analisis kode Lumma Stealer, ditemukan bahwa teknik ini mengambil token dari “tabel token_service Chrome di WebData untuk mengekstrak token dan ID akun dari profil Chrome yang masuk,” kata peneliti keamanan Pavan Karthick M. “Tabel ini memiliki dua kolom penting: layanan (ID GAIA) dan enkripsi_token.”
Pasangan token:ID GAIA ini kemudian digunakan bersama dengan titik akhir MultiLogin untuk membuat ulang cookie autentikasi Google.
Karthick menjelaskan kepada The Hacker News bahwa tiga skenario pembuatan token-cookie berbeda telah diuji:
- Saat pengguna masuk dengan browser, dalam hal ini token dapat digunakan berkali-kali.
- Saat pengguna mengubah sandi namun tetap masuk ke Google, dalam hal ini token hanya dapat digunakan sekali.
- Jika pengguna keluar dari browser, maka token akan dicabut dan dihapus dari penyimpanan lokal browser, yang kemudian akan dibuat ulang saat masuk kembali.
Google mengakui adanya metode serangan ini, namun mencatat bahwa pengguna dapat mencabut sesi yang dicuri dengan keluar dari browser yang terkena dampak.
Baca Juga : Apple Rilis Pembaruan Keamanan: Mengatasi Ancaman Zero-Day
Google menegaskan bahwa mereka terus meningkatkan pertahanan mereka terhadap teknik serangan semacam ini dan mengamankan akun yang terdampak. Mereka merekomendasikan pengguna untuk mengaktifkan fitur Enhanced Safe Browsing di Chrome untuk melindungi dari unduhan phishing dan malware serta mengubah kata sandi secara berkala.
Para peneliti keamanan menyarankan pengguna untuk memantau aktivitas akun mereka dan mencurigai sesi yang berasal dari IP dan lokasi yang tidak dikenal.
Meskipun langkah-langkah dari Google sangat berharga, situasi ini menyoroti perlunya solusi keamanan yang lebih canggih untuk melawan ancaman dunia maya yang terus berkembang seperti dalam kasus pencuri informasi yang sangat populer di kalangan penjahat dunia maya saat ini.
