Новый вредонос восстанавливает файлы cookie для взлома учётных записей Google

Серьёзная уязвимость, связанная с файлами cookie, которая сначала включает в себя вредоносное программное обеспечение (ПО), извлекающее файлы из Chrome, позволяет получить доступ к учётным записям Google даже после смены паролей.

Об этом сообщает портал BleepingComputer, а также отчёт аналитиков CloudSEK и Hudson Rock. На высоком уровне эта уязвимость требует установки вредоносного ПО на рабочий стол, чтобы «извлекать и расшифровывать токены входа, хранящиеся в локальной базе данных Google Chrome».

Полученная информация затем используется для отправки запроса в API Google (обычно используемый Chrome для синхронизации учётных записей между различными службами Google) и создания «стабильных и постоянных файлов cookie Google», отвечающих за аутентификацию, которые можно использовать для доступа к вашей учётной записи. В этом случае неясно, обеспечивает ли двухфакторная аутентификация какую-либо защиту.

По сути, внедрение ключа из файлов восстановления позволяет повторно авторизовать файлы cookie, гарантируя их действительность даже после смены пароля.

Больше всего беспокоит то, как этот процесс «восстановления» можно выполнять несколько раз, а жертва так и не узнает, что она была скомпрометирована. Ещё хуже то, что даже после сброса пароля учётной записи Google злоумышленник может снова использовать этот эксплойт для получения доступа к вашей учётной записи.

Несколько групп вредоносного ПО по подсчётам BleepingComputer, имеют доступ к этой уязвимости и продают её. Впервые эксплойт был анонсирован в середине ноября. Примечательно, что некоторые из этих сторон заявляют, что они уже обновили эту уязвимость для борьбы с контрмерами, реализованными Google.

Что касается немедленных мер, которые вы можете предпринять, то не устанавливайте программное обеспечение, с которым вы не знакомы (поскольку это может быть вредоносное ПО).