ملخص:
تسيئ العديد من عائلات البرامج الضارة واجهة "Google OAuth" غير الموثقة المعروفة باسم "MultiLogin"، لاستخراج معلومات المستخدمين والكلمات الرئيسية المشفرة، لإعادة إنشاء ملفات تعريف الارتباط المنتهية والوصول غير المصرح به إلى حسابات قوقل المستهدفة حتى بعد تسجيل المالكين الشرعيين الخروج أو إعادة تعيين كلمات المرور. 

تسيء العديد من عائلات البرامج الضارة التي تعمل على سرقة المعلومات استخدام نقطة نهاية Google OAuth غير الموثقة المسماة "MultiLogin" لاستعادة ملفات تعريف الارتباط للمصادقة منتهية الصلاحية وتسجيل الدخول إلى حسابات المستخدمين، حتى لو تمت إعادة تعيين كلمة مرور الحساب.

ملفات تعريف الارتباط الخاصة بالجلسة هي نوع خاص من ملفات تعريف الارتباط للمتصفح الذي يحتوي على معلومات المصادقة، مما يسمح للشخص بتسجيل الدخول تلقائيًا إلى مواقع الويب والخدمات دون إدخال بيانات الاعتماد الخاصة به.

من المفترض أن تكون هذه الأنواع من ملفات تعريف الارتباط ذات عمر محدود، لذلك لا يمكن استخدامها إلى أجل غير مسمى من قبل جهات التهديد لتسجيل الدخول إلى الحسابات في حالة سرقتها.

في أواخر نوفمبر 2023، أبلغت BleepingComputer عن اثنين من سارقي المعلومات، وهما Lumma وRadamanthys، اللذين زعما أنهما قادران على  استعادة ملفات تعريف الارتباط منتهية الصلاحية لمصادقة قوقل  والتي سُرقت في الهجمات.

ستسمح ملفات تعريف الارتباط هذه لمجرمي الإنترنت بالوصول غير المصرح به إلى حسابات قوقل حتى بعد تسجيل خروج المالكين الشرعيين، أو إعادة تعيين كلمات المرور الخاصة بهم، أو انتهاء صلاحية الجلسة الخاصة بهم.

استغلال نقطة نهاية Google OAuth
يسلط تقرير نشره اليوم باحثون في CloudSEK مزيدًا من الضوء على كيفية عمل استغلال يوم الصفر هذا ويرسم صورة قاتمة فيما يتعلق بحجم استغلاله.

تم الكشف عن الاستغلال لأول مرة من قبل جهة تهديد تدعى PRISMA في 20 أكتوبر 2023، والتي نشرت على تيليجرام أنها اكتشفت طريقة لاستعادة ملفات تعريف الارتباط لمصادقة قوقل منتهية الصلاحية.

بعد إجراء هندسة عكسية للاستغلال، اكتشف CloudSEK أنه يستخدم نقطة نهاية Google OAuth غير موثقة تسمى "MultiLogin"، والتي تهدف إلى مزامنة الحسابات عبر خدمات قوقل المختلفة من خلال قبول متجه لمعرفات الحساب والرموز المميزة لتسجيل الدخول.

"يتم استخدام هذا الطلب لتعيين حسابات كروم في المتصفح في ملفات تعريف الارتباط لمصادقة قوقل للعديد من مواقع قوقل (مثل يوتيوب)"، يوضح وصف  نقطة نهاية واجهة برمجة التطبيقات  في كود مصدر قوقل كروم.

تقول CloudSEK أن البرامج الضارة التي تسرق المعلومات والتي تسيء استخدام نقطة النهاية هذه تستخرج الرموز المميزة ومعرفات الحساب لملفات تعريف قوقل التي تم تسجيل الدخول إلى حساب قوقل. تحتوي هذه المعلومات المسروقة على قطعتين مهمتين من البيانات: الخدمة (معرف GAIA) والرمز المشفر.

يتم فك تشفير الرموز المميزة المشفرة باستخدام التشفير المخزن في ملف "الحالة المحلية" في كروم. يتم استخدام مفتاح التشفير نفسه أيضًا لفك تشفير كلمات المرور المحفوظة في المتصفح.

باستخدام الرمز المميز المسروق: يقترن GAIA بنقطة نهاية MultiLogin، يمكن للجهات الفاعلة في التهديد إعادة إنشاء ملفات تعريف الارتباط منتهية الصلاحية لخدمة قوقل والحفاظ على الوصول المستمر إلى الحسابات المخترقة.

في مناقشة مع بافان كارثيك، الباحث في CloudSek، قيل لـ BleepingComputer إنهم أجروا هندسة عكسية للاستغلال وكانوا قادرين على استخدامه لتجديد ملفات تعريف الارتباط لمصادقة قوقل منتهية الصلاحية.

ومع ذلك، أوضح كارثيك أنه لا يمكن إعادة إنشاء ملف تعريف ارتباط المصادقة إلا مرة واحدة إذا قام المستخدم بإعادة تعيين كلمة مرور قوقل الخاصة به. وبخلاف ذلك، يمكن إعادة إنشائه عدة مرات، مما يوفر وصولاً مستمرًا إلى الحساب.

يسارع مطورو البرامج الضارة إلى إضافة استغلال
اعتمد Lumma Stealer الثغرة لأول مرة في 14 نوفمبر، حيث قام مطوروها بتطبيق تقنيات Blackboxing مثل تشفير الرمز المميز: اقتران GAIA بمفاتيح خاصة لإخفاء الآلية عن المنافسين ومنع تكرار الميزة.

ومع ذلك، تمكن الآخرون من نسخ الميزة أو دمج استغلال PRISMA في أدوات السرقة الخاصة بهم، وكان Rhadamanthys أول من تبعه في 17 نوفمبر.

منذ ذلك الحين، اعتمد العديد من سارقي المعلومات الآخرين هذه الثغرة، بما في ذلك Stealc في 1 ديسمبر، وMedusa في 11 ديسمبر، وRisePro في 12 ديسمبر، وWhitesnake في 26 ديسمبر.

لذلك، يدعي ما لا يقل عن ستة من سارقي المعلومات حاليًا القدرة على إعادة إنشاء ملفات تعريف الارتباط الخاصة بـ قوقل باستخدام نقطة نهاية واجهة برمجة التطبيقات هذه.

قام إصدار لاحق من Lumma بتحديث الثغرة لمواجهة عمليات التخفيف التي تقوم بها قوقل، مما يشير إلى أن عملاق التكنولوجيا على علم بخلل يوم الصفر الذي تم استغلاله بشكل نشط.

على وجه التحديد، لجأ Lumma إلى استخدام بروكسي SOCKS للتهرب من إجراءات الكشف عن إساءة استخدام قوقل ونفذ اتصالًا مشفرًا بين البرامج الضارة ونقطة نهاية MultiLogin.

ومع ذلك، نظرًا لأن قوقل لم تؤكد إساءة استخدام نقطة نهاية MultiLogin، فإن حالة الاستغلال وجهود التخفيف من آثاره تظل غير واضحة في الوقت الحالي.

المصدر: BleepingComputer