Malware-Operationen, die auf den Diebstahl von Informationen abzielen, sind leider keine Seltenheit. Ende November 2023 wurde \u00fcber zwei solcher Operationen namens Lumma und Rhadamanthys berichtet. Diese Malware nutzt eine nicht dokumentierte Google Chrome API aus, um neue Authentifizierungs-Cookies zu generieren, wenn zuvor gestohlene abgelaufen sind. Die Malware behauptet, abgelaufene Google-Authentifizierungs-Cookies, die bei Angriffen gestohlen wurden, wiederherstellen zu k\u00f6nnen. <\/p>\n
Google hat diese Berichte jedoch heruntergespielt und scheint den Missbrauch der API lediglich als Diebstahl von Cookies durch Malware zu betrachten. Laut Pavan Karthick, einem Forscher von CloudSEK, der die Malware-Operationen untersucht hat, stiehlt die Malware mehrere Tokens von Google Chrome. Diese Tokens beinhalten sowohl Authentifizierungs-Cookies f\u00fcr Google-Seiten als auch ein spezielles Token, das zum Aktualisieren oder Generieren neuer Authentifizierungs-Tokens verwendet werden kann. <\/p>\n
Da regul\u00e4re Authentifizierungs-Cookies nach einer gewissen Zeit ablaufen und f\u00fcr den Angreifer nutzlos werden, k\u00f6nnen sie das spezielle Refresh-Token verwenden, um neue Tokens zu generieren, wenn die vorherigen abgelaufen sind. Auf diese Weise k\u00f6nnen die Angreifer l\u00e4nger auf die Konten zugreifen, als normalerweise erlaubt w\u00e4re. <\/p>\n
Google hat Schritte unternommen, um die Sicherheit der betroffenen Konten zu gew\u00e4hrleisten, die entdeckt wurden. Benutzern wird empfohlen, sich von ihrem Chrome-Browser auf dem betroffenen Ger\u00e4t abzumelden oder alle aktiven Sitzungen \u00fcber g.co\/mydevices zu beenden. Dadurch wird das Refresh-Token ung\u00fcltig und kann nicht mehr f\u00fcr die Verwendung mit der API genutzt werden. Dar\u00fcber hinaus wird empfohlen, aus Sicherheitsgr\u00fcnden auch das Google-Passwort zu \u00e4ndern, insbesondere wenn es auch f\u00fcr andere Websites verwendet wird. <\/p>\n
Um sich vor Phishing und dem Herunterladen von Malware zu sch\u00fctzen, empfiehlt Google au\u00dferdem, die Funktion „Verbessertes sicheres Surfen“ in Chrome zu aktivieren. Trotz dieser Empfehlungen sind sich die meisten Menschen, die von Information-Stehl-Malware betroffen sind, nicht bewusst, wann sie diese Schritte ergreifen sollten. In den meisten F\u00e4llen bemerken die Betroffenen erst, dass sie infiziert sind, wenn ihre Konten unbefugt genutzt werden.<\/p>\n
Ein Beispiel daf\u00fcr ist ein Vorfall bei Orange Espa\u00f1a, dem zweitgr\u00f6\u00dften Mobilfunkanbieter in Spanien. Ein Mitarbeiter wurde Opfer von Malware, die seine Passw\u00f6rter gestohlen hat. Dies blieb jedoch unbemerkt, bis die gestohlenen Anmeldedaten verwendet wurden, um sich in das RIPE-Konto des Unternehmens einzuloggen und die BGP-Konfiguration zu manipulieren. Dadurch kam es zu erheblichen Beeintr\u00e4chtigungen der Leistung und zu Internetausf\u00e4llen f\u00fcr Kunden von Orange.<\/p>\n
Es bleibt die Frage, wie Benutzer \u00fcberhaupt wissen sollen, dass sie sich von ihrem Browser abmelden sollten, um die Authentifizierungs-Tokens ung\u00fcltig zu machen, wenn sie nicht einmal von ihrer Infektion wissen. Es w\u00e4re sinnvoll, den Zugriff auf diese API einzuschr\u00e4nken, um den Missbrauch durch Malware-as-a-Service-Operationen zu verhindern. Bisher hat Google jedoch keine Pl\u00e4ne zur Eind\u00e4mmung des Missbrauchs der API vorgelegt.<\/p>\n
Es ist wichtig, dass Benutzer weiterhin Ma\u00dfnahmen ergreifen, um Malware von ihren Computern zu entfernen und ihre Konten zu sch\u00fctzen.<\/p>\n
Schlagw\u00f6rter: Google Chrome API + Malware + Google<\/p>\n","protected":false},"excerpt":{"rendered":"
Malware-Operationen, die auf den Diebstahl von Informationen abzielen, sind leider keine Seltenheit. Ende November 2023 wurde \u00fcber zwei solcher Operationen namens Lumma und Rhadamanthys berichtet. Diese Malware nutzt eine nicht dokumentierte Google Chrome API aus, um neue Authentifizierungs-Cookies zu generieren, wenn zuvor gestohlene abgelaufen sind. Die Malware behauptet, abgelaufene Google-Authentifizierungs-Cookies,...<\/p>\n","protected":false},"author":4,"featured_media":2970,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2971","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2971","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2971"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2971\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/2970"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2971"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2971"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2971"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}