Alerta por malware que usa las cookies para acceder a tu cuenta de Google

Una vulnerabilidad relacionada con las cookies en Chrome está permitiendo a atacantes hacerse con cuentas de Google ajenas sin permiso. El malware que roba información está aprovechando activamente un punto vulnerable de Google OAuth llamado MultiLogin para secuestrar las sesiones de los usuarios y permitir el acceso continuo a los servicios de Google, incluso después de restablecer la contraseña.

Noticias relacionadas

Qué novedades traen las 3 versiones de Gemini, la inteligencia artificial de Google

Esto ha sido lo más buscado en Google en el 2023

Los buscadores que existían antes de Google y cómo logró derrotarlos el actual rey de internet

Según CloudSEK, el exploit (programa o código que se aprovecha de una vulnerabilidad) facilita la persistencia de la sesión y la generación de cookies, lo que permite mantener el acceso a una sesión válida de forma no autorizada. Esto le permite a los atacantes instalar malware en equipos para “extraer y descifrar tokens de inicio de sesión almacenados en la base de datos local de Chrome”.

La técnica fue revelada por primera vez por un atacante llamado PRISMA el 20 de octubre de 2023 en su canal de Telegram. Desde entonces, se ha incorporado a varias familias de ladrones de malware como servicio (MaaS), Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake.

Gmail, cómo surgió el correo que pronto cumplirá 20 años

El punto final de autenticación MultiLogin está diseñado principalmente para sincronizar cuentas de Google entre servicios cuando los usuarios inician sesión en sus cuentas en el navegador web Chrome (es decir, perfiles). El problema es que los atacantes pueden realizar este mismo proceso en repetidas ocasiones, incluso aunque el usuario cambie la contraseña de su cuenta de Google.

La compañía aún no ha arreglado el daño, pero está trabajando para solucionar el problema, que fue descubierto por primera vez el pasado mes de octubre, cuando todo fue publicado en Telegram.

“Google está al tanto de informes recientes sobre una familia de malware que roba tokens de sesión”, dijo la compañía a The Hacker News. “Los ataques que involucran malware que roba cookies y tokens no son nuevos; actualizamos rutinariamente nuestras defensas contra tales técnicas y para proteger a los usuarios que son víctimas del malware. En este caso, Google ha tomado medidas para proteger cualquier cuenta comprometida detectada”.

La compañía recomendó además a los usuarios activar la navegación segura mejorada en Chrome para protegerse contra el phishing y las descargas de malware. (I)