Kriminelle können mit Lumma-Info-Stealer Google-Konten übernehmen

Eine neue Schwachstelle ermöglicht offenbar kontinuierlichen Zugriff auf Google-Dienste - selbst nachdem ein Benutzer sein Passwort zurückgesetzt hat. Bereits im vergangenen November boten Cybercrime-Gruppierungen eine neue Produktfunktion für ihre Infostealer-Malware Lumma (auch bekannt als LummaC2) an. Die Schadsoftware ist auf Informationsbeschaffung spezialisiert. So sammelt sie etwa Zugangsdaten und Login-Cookies. Infostealer-Entwickler bewerben jetzt eine Funktion, die Login-Cookies erneuern und somit selbst Passwortänderungen wirklungslos machen soll.

Wie eine Analyse durch Sicherheitsforscher von CloudSEK (engl.) ergab, scheint an dieser Behauptung etwas dran zu sein. Über ein undokumentiertes Google-API (Application Programming Interface) kann die Malware gültige Cookies für gestohlene Konten erstellen. Über die Schnittstelle, die eigentlich zum Abgleich der Kontodaten über verschiedene Geräte hinweg gedacht ist, lädt sie verschlüsselte Zugangs-Tokens herunter und entschlüsselt diese mit Hilfe von geklautem Schlüsselmaterial aus dem Browser einer Nutzerin oder eines Nutzers.


Das Bedrohungsforschungsteam von CloudSEK identifizierte mit Hilfe von HUMINT sowie technischer Analyse im Blog den Ursprung des Exploits an einem undokumentierten Google-Oath-Endpunkt namens "MultiLogin".

Auch Passwortänderung hilft nicht

Wird der Computer mit Malware infiziert, ist eine der wichtigsten Regeln, sämtliche Passwörter zu ändern. Doch in diesem Fall reicht diese Massnahme nicht aus. Denn da die verschlüsselten Authentifizierungs-Tokens nicht vom Google-Passwort eines Nutzers abhängig sind, übersteht dieser Angriff eine Passwortänderung.

Ob und wann Google diese Sicherheitslücke schliessen wird, ist derzeit noch unklar. (cma)