Contas Google podem ser acessadas sem senha

Um ataque cibernético sofisticado, pôs à prova os sistemas de autenticação e autorização de contas Google.

O Lumma é um tipo de malware avançado, cujo objetivo é contornar medidas de segurança típicas das contas do Google. Em outubro de 2023, foi descoberto que o grupo de ameaças 'PRISMA' revelou uma solução inovadora em seu canal do Telegram. Essa solução, incorporada no Lumma Infostealer, permite que os invasores mantenham o acesso não autorizado mesmo após a alteração da senha da conta.

O software possui a capacidade de manter o acesso não autorizado a uma conta do Google mesmo após a alteração da senha associada a essa conta.

Como funciona o ataque

No processo normal de autenticação do Google, um código (token) é gerado para identificar uma sessão autenticada. Esse token está vinculado a um identificador exclusivo chamado GAIA ID, que representa a conta específica do usuário autenticado naquele momento.

Manipulação do Token

O Lumma realiza uma manipulação sofisticada desse par de token (GAIA ID). Essa manipulação permite ao malware continuar regenerando cookies para os serviços do Google, mesmo após uma mudança de senha.

Criptografia do Token

O grande truque nesse processo está na criptografia do token GAIA ID com chaves privadas exclusivas do Lumma. Essa criptografia funciona como uma espécie de "caixa-preta," ocultando os detalhes fundamentais do processo de exploração, de maneira que o ataque passa despercebido pelos mecanismos de autorização, uma vez que está mascarado pela criptografia do malware.

Outro ponto importante da criptografia, é que ela auxilia na evasão da detecção, pois a comunicação criptografada entre o malware e o mecanismo de autenticação torna-se menos suscetível a acionar alertas em sistemas de segurança de rede. A comunicação criptografada é muitas vezes considerada legítima, passando despercebida por medidas padrão de segurança.

Persistência Após Alteração de Senha

O Lumma, consegue manter sua eficácia mesmo quando os usuários alteram suas senhas. Isso significa que, mesmo após uma ação de segurança como a mudança de senha, o malware continua regenerando cookies válidos, mantendo assim o acesso não autorizado à conta.

Em resumo, a persistência da sessão no ataque Lumma é alcançada através de uma manipulação sofisticada e criptografia do token “GAIA ID”. Essa técnica avançada permite que o malware continue a operar de maneira furtiva, contornando medidas tradicionais de segurança e mantendo o acesso prolongado e potencialmente não detectado às contas dos usuários.

Impactos para Empresas

As empresas podem enfrentar consequências significativas se não estiverem preparadas para combater ameaças como esta. A persistência da sessão, mesmo após a alteração da senha, significa que as medidas de segurança tradicionais podem ser contornadas, permitindo o acesso não autorizado a informações sensíveis, danos reputacionais e financeiros.

A utilização desse tipo de ataque por diferentes grupos de Infostealers reforça a necessidade de uma abordagem proativa por parte das empresas.

Mitigação

Enquanto uma solução abrangente do Google não é disponibilizada, se você suspeitar que sua conta pode ter sido comprometida ou, como precaução geral, saia de todos os perfis do navegador para invalidar os tokens de sessão atuais.

Depois disso, redefina sua senha e faça login novamente para gerar novos tokens. Isso é especialmente importante para usuários cujos tokens e IDs GAIA possam ter sido exfiltrados (roubados).

Informações adicionais podem ser encontradas no relatório técnico divulgado pela empresa de pesquisa em segurança cibernética CloudSEK.

Preocupações Adicionais

Atualizações de Segurança

Garantir que todos os sistemas, incluindo navegadores e softwares de segurança e sistemas operacionais, estejam atualizados para evitar possíveis brechas exploráveis pelo Lumma e outros softwares;

Não utilizar software pirata

A utilização de software não original, além de uma prática ilegal, impede que seus sistemas recebam as atualizações de segurança necessárias para correção de vulnerabilidades;

Treinamento e Conscientização

Capacitar os colaboradores para que possam reconhecer e reportar ameaças potenciais, evitando práticas que possam facilitar a instalação de malware;

Ação Imediata em Caso de Suspeita

Incentivar uma resposta rápida, incluindo o logout de todas as sessões e a alteração imediata de senhas, caso haja suspeita de comprometimento;

Monitoramento Contínuo

Implementar sistemas de monitoramento avançado que identifiquem atividades suspeitas, especialmente aquelas relacionadas a sessões persistentes e regeneração de cookies.

Conclusão

O ataque Lumma nos mostra a importância de uma abordagem integrada de segurança cibernética, envolvendo tanto aspectos técnicos quanto informações provenientes de fontes humanas. A colaboração entre inteligência técnica e humana é fundamental para entender e enfrentar ameaças cada vez mais sofisticadas.

A Overnine oferece várias soluções de segurança para o seu ambiente. Caso tenha ficado com alguma dúvida ou busca uma solução robusta de segurança para seu ambiente, entre em contato conosco que estaremos prontos para lhe atender.

Clique aqui para ver outras matérias.