มัลแวร์สำหรับขโมยข้อมูล Lumma หรือที่รู้จักกันในชื่อ LummaC2 กำลังโปรโมตฟีเจอร์ใหม่ ที่ถูกระบุว่าสามารถช่วยให้อาชญากรไซเบอร์สามารถกู้คืน Google cookies ที่หมดอายุไปแล้ว ซึ่งทำให้ผู้โจมตีสามารถนำมาใช้เพื่อแฮ็กบัญชี Google ได้
Session cookies เป็น web cookies ที่ใช้เพื่อให้ browsing session สามารถเข้าสู่ระบบของเว็บไซต์ได้โดยอัตโนมัติ เนื่องจากคุกกี้เหล่านี้อนุญาตให้ใครก็ตามที่ครอบครองคุกกี้เหล่านี้สามารถลงชื่อเข้าใช้บัญชีของเจ้าของได้ โดยทั่วไปคุกกี้เหล่านี้จึงมีอายุการใช้งานที่จำกัดด้วยเหตุผลด้านความปลอดภัย เพื่อป้องกันการถูกนำไปใช้งานในทางที่ผิดหากถูกขโมยไป
การกู้คืนคุกกี้เหล่านี้ได้จะทำให้ Lumma สามารถเข้าถึงบัญชี Google ต่าง ๆ ได้โดยไม่ได้รับอนุญาต แม้ว่าเจ้าของบัญชีตัวจริงจะออกจากระบบบัญชีของตน หรือเซสชันหมดอายุไปแล้วก็ตาม
Alon Gal นักวิจัยจาก Hudson Rock พบโพสต์ในฟอรัมที่เผยแพร่เมื่อวันที่ 14 พฤศจิกายน โดยอ้างว่า Lumma มีความสามารถในการกู้คืนคุกกี้ที่หมดอายุโดยใช้คีย์จากการกู้คืนไฟล์ (ใช้ได้กับคุกกี้ของ Google เท่านั้น)
โดยฟีเจอร์ใหม่นี้จะมีให้สําหรับสมาชิกระดับ Corporate เท่านั้น ซึ่งมีราคา 1,000 ดอลลาร์สหรัฐฯ ต่อเดือน โดยโพสต์ในฟอรัมยังระบุด้วยว่าแต่ละ key ของ Google สามารถใช้ได้สองครั้ง ดังนั้นการกู้คืนคุกกี้รูปแบบนี้สามารถทำงานได้เพียงครั้งเดียวเท่านั้น แต่ก็ถือว่าเพียงพอที่จะนำมาใช้ในการโจมตีต่อองค์กร
ฟีเจอร์ใหม่นี้ถูกระบุว่าจะอยู่ใน Lumma เวอร์ชันล่าสุด ทำให้ปัจจุบันยังไม่ได้รับการตรวจสอบว่าสามารถทำงานได้ตามที่โฆษณาไว้หรือไม่
อย่างไรก็ตาม เป็นที่น่าสังเกตว่า Rhadamanthys มัลแวร์จากผู้โจมตีอีกรายหนึ่งได้แจ้งถึงความสามารถที่คล้ายกันในการอัปเดตเวอร์ชันล่าสุด ซึ่งเพิ่มโอกาสที่ทำให้ฟีเจอร์ดังกล่าวอาจจะสามารถทำงานได้จริง
BleepingComputer ได้ติดต่อ Google หลายครั้งเพื่อขอความคิดเห็นเกี่ยวกับความเป็นไปได้ที่นักพัฒนามัลแวร์จะค้นพบช่องโหว่ใน session cookies แต่ยังไม่ได้รับการตอบกลับ
ไม่กี่วันภายหลังจากการติดต่อกับ Google นักพัฒนาของ Lumma ได้เผยแพร่การอัปเดตที่อ้างว่าเป็นการแก้ไขเพิ่มเติมเพื่อหลีกเลี่ยงข้อจำกัดที่เพิ่งเปิดใช้งานของ Google เพื่อป้องกันการกู้คืนคุกกี้
BleepingComputer ยังได้พยายามเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการทำงานของฟีเจอร์นี้ และช่องโหว่ที่ถูกใช้จาก Lumma อย่างไรก็ตาม ตัวแทนของนักพัฒนามัลแวร์ปฏิเสธที่จะให้ข้อมูลเกี่ยวกับเรื่องนี้ เมื่อสอบถามเกี่ยวกับฟีเจอร์ที่คล้ายกันจากมัลแวร์ Rhadamantis ตัวแทนของ Lumma ระบุว่า Rhadamantis ได้เลียนแบบฟีเจอร์นี้จากพวกเขาไป
โดยหากผู้โจมตีสามารถกู้คืนคุกกี้ของ Google ที่หมดอายุไปแล้วตามที่ประกาศได้จริง ผู้ใช้งานก็ไม่สามารถทำอะไรได้จนกว่า Google จะออกแนวทางแก้ไข นอกเหนือจากการป้องกันการติดมัลแวร์ที่จะนำไปสู่การขโมยคุกกี้เหล่านั้น ข้อควรระวัง คือการหลีกเลี่ยงการดาวน์โหลดไฟล์ torrent และไฟล์ปฏิบัติการจากเว็บไซต์ที่น่าสงสัย และหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ถูกโฆษณาผ่าน Google Ad
ที่มา: bleepingcomputer
You must be logged in to post a comment.