Kriminelle können mit Lumma-Info-Stealer Google-Konten übernehmen
Quelle: Depositphotos

Kriminelle können mit Lumma-Info-Stealer Google-Konten übernehmen

Diese Malware nutzt den Zugriff auf Browserdaten sowie eine undokumentierte Google-API. Selbst eine Passwortänderung ist nutzlos.
3. Januar 2024

     

Eine neue Schwachstelle ermöglicht offenbar kontinuierlichen Zugriff auf Google-Dienste - selbst nachdem ein Benutzer sein Passwort zurückgesetzt hat. Bereits im vergangenen November boten Cybercrime-Gruppierungen eine neue Produktfunktion für ihre Infostealer-Malware Lumma (auch bekannt als LummaC2) an. Die Schadsoftware ist auf Informationsbeschaffung spezialisiert. So sammelt sie etwa Zugangsdaten und Login-Cookies. Infostealer-Entwickler bewerben jetzt eine Funktion, die Login-Cookies erneuern und somit selbst Passwortänderungen wirklungslos machen soll.

Wie eine Analyse durch Sicherheitsforscher von CloudSEK (engl.) ergab, scheint an dieser Behauptung etwas dran zu sein. Über ein undokumentiertes Google-API (Application Programming Interface) kann die Malware gültige Cookies für gestohlene Konten erstellen. Über die Schnittstelle, die eigentlich zum Abgleich der Kontodaten über verschiedene Geräte hinweg gedacht ist, lädt sie verschlüsselte Zugangs-Tokens herunter und entschlüsselt diese mit Hilfe von geklautem Schlüsselmaterial aus dem Browser einer Nutzerin oder eines Nutzers.


Das Bedrohungsforschungsteam von CloudSEK identifizierte mit Hilfe von HUMINT sowie technischer Analyse im Blog den Ursprung des Exploits an einem undokumentierten Google-Oath-Endpunkt namens "MultiLogin".

Auch Passwortänderung hilft nicht

Wird der Computer mit Malware infiziert, ist eine der wichtigsten Regeln, sämtliche Passwörter zu ändern. Doch in diesem Fall reicht diese Massnahme nicht aus. Denn da die verschlüsselten Authentifizierungs-Tokens nicht vom Google-Passwort eines Nutzers abhängig sind, übersteht dieser Angriff eine Passwortänderung.

Ob und wann Google diese Sicherheitslücke schliessen wird, ist derzeit noch unklar. (cma)


Weitere Artikel zum Thema

Neues Chrome-Update stopft gefährliche Sicherheitslücke

21. Dezember 2023 - Eine neue Chrome-Version entschärft eine gefährliche Schwachstelle. Entdeckt wurde sie von einer IT-Sicherheitsforscherin, welche die Lücke dem Entwicklerteam meldete.

Malware Atomic Stealer greift auf MacOS über

27. November 2023 - Nachdem Cyberkriminelle mithilfe der As-a-Service erhältlichen Malware Atomic Stealer schon seit Juli 2023 Daten von Windows-Systemen stehlen, zielt die Kampagne Clearfake jetzt auch auf MacOS-Geräte ab.

Freeware-Website hat 3 Jahre lang Linux-Trojaner ausgeliefert

14. September 2023 - Mindestens drei Jahre lang waren Installationsdateien des Free Download Manager im Umlauf, die einen Backdoor-Trojaner für Linux verbreiteten. Die Infektionen erfolgten beim Download der Software von der offiziellen Hersteller-Website.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER