Malware-Operationen Lumma und Rhadamanthys nutzen Google Chrome API zur Diebstahl von Informationen

Malware-Operationen, die auf den Diebstahl von Informationen abzielen, sind leider keine Seltenheit. Ende November 2023 wurde über zwei solcher Operationen namens Lumma und Rhadamanthys berichtet. Diese Malware nutzt eine nicht dokumentierte Google Chrome API aus, um neue Authentifizierungs-Cookies zu generieren, wenn zuvor gestohlene abgelaufen sind. Die Malware behauptet, abgelaufene Google-Authentifizierungs-Cookies, die bei Angriffen gestohlen wurden, wiederherstellen zu können.

Google hat diese Berichte jedoch heruntergespielt und scheint den Missbrauch der API lediglich als Diebstahl von Cookies durch Malware zu betrachten. Laut Pavan Karthick, einem Forscher von CloudSEK, der die Malware-Operationen untersucht hat, stiehlt die Malware mehrere Tokens von Google Chrome. Diese Tokens beinhalten sowohl Authentifizierungs-Cookies für Google-Seiten als auch ein spezielles Token, das zum Aktualisieren oder Generieren neuer Authentifizierungs-Tokens verwendet werden kann.

Da reguläre Authentifizierungs-Cookies nach einer gewissen Zeit ablaufen und für den Angreifer nutzlos werden, können sie das spezielle Refresh-Token verwenden, um neue Tokens zu generieren, wenn die vorherigen abgelaufen sind. Auf diese Weise können die Angreifer länger auf die Konten zugreifen, als normalerweise erlaubt wäre.

Google hat Schritte unternommen, um die Sicherheit der betroffenen Konten zu gewährleisten, die entdeckt wurden. Benutzern wird empfohlen, sich von ihrem Chrome-Browser auf dem betroffenen Gerät abzumelden oder alle aktiven Sitzungen über g.co/mydevices zu beenden. Dadurch wird das Refresh-Token ungültig und kann nicht mehr für die Verwendung mit der API genutzt werden. Darüber hinaus wird empfohlen, aus Sicherheitsgründen auch das Google-Passwort zu ändern, insbesondere wenn es auch für andere Websites verwendet wird.

Um sich vor Phishing und dem Herunterladen von Malware zu schützen, empfiehlt Google außerdem, die Funktion “Verbessertes sicheres Surfen” in Chrome zu aktivieren. Trotz dieser Empfehlungen sind sich die meisten Menschen, die von Information-Stehl-Malware betroffen sind, nicht bewusst, wann sie diese Schritte ergreifen sollten. In den meisten Fällen bemerken die Betroffenen erst, dass sie infiziert sind, wenn ihre Konten unbefugt genutzt werden.

Ein Beispiel dafür ist ein Vorfall bei Orange España, dem zweitgrößten Mobilfunkanbieter in Spanien. Ein Mitarbeiter wurde Opfer von Malware, die seine Passwörter gestohlen hat. Dies blieb jedoch unbemerkt, bis die gestohlenen Anmeldedaten verwendet wurden, um sich in das RIPE-Konto des Unternehmens einzuloggen und die BGP-Konfiguration zu manipulieren. Dadurch kam es zu erheblichen Beeinträchtigungen der Leistung und zu Internetausfällen für Kunden von Orange.

Es bleibt die Frage, wie Benutzer überhaupt wissen sollen, dass sie sich von ihrem Browser abmelden sollten, um die Authentifizierungs-Tokens ungültig zu machen, wenn sie nicht einmal von ihrer Infektion wissen. Es wäre sinnvoll, den Zugriff auf diese API einzuschränken, um den Missbrauch durch Malware-as-a-Service-Operationen zu verhindern. Bisher hat Google jedoch keine Pläne zur Eindämmung des Missbrauchs der API vorgelegt.

Es ist wichtig, dass Benutzer weiterhin Maßnahmen ergreifen, um Malware von ihren Computern zu entfernen und ihre Konten zu schützen.

Schlagwörter: Google Chrome API + Malware + Google

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 7. Januar 2024