Lumma bilgi hırsızı kötü amaçlı yazılımı (aka ‘LummaC2’), siber suçluların, Google hesaplarını ele geçirmek için kullanılabilecek, süresi dolmuş Google çerezlerini geri yüklemesine izin verdiği iddia edilen yeni bir özelliği tanıtıyor.
Oturum çerezleri, bir tarama oturumunun bir web sitesinin hizmetlerinde otomatik olarak oturum açmasına izin vermek için kullanılan belirli web çerezleridir. Bu çerezler, onlara sahip olan herkesin sahibinin hesabına giriş yapmasına olanak sağladığından, çalınmaları durumunda kötüye kullanımı önlemek amacıyla güvenlik nedeniyle genellikle sınırlı bir kullanım ömrüne sahiptirler.
Bu çerezlerin geri yüklenmesi, Lumma operatörlerinin, meşru hesap sahibi hesaptan çıkış yaptıktan veya oturumları sona erdikten sonra bile herhangi bir Google hesabına yetkisiz erişim elde etmesine olanak tanıyacaktır.
Hudson Rock’tan Alon Gal, ilk olarak bilgi hırsızının geliştiricileri tarafından 14 Kasım’da yayınlanan bir güncellemeyi vurgulayan ve “geri yükleme dosyalarından bir anahtar kullanarak ölü çerezleri geri yükleme yeteneği (yalnızca Google çerezleri için geçerlidir)” iddiasını vurgulayan bir forum gönderisini fark etti.
Kaynak: BleepingComputer
Bu yeni özellik yalnızca siber suçlulara aylık 1.000 ABD dolarına mal olan en yüksek seviyeli “Kurumsal” planın abonelerine sunuldu.
Forum gönderisi ayrıca her anahtarın iki kez kullanılabileceğini, böylece çerez geri yüklemesinin yalnızca bir kez çalışabileceğini açıklığa kavuşturuyor. Bu yine de iyi güvenlik uygulamalarını takip eden kuruluşlara yıkıcı saldırılar başlatmak için yeterli olacaktır.
Son Lumma sürümlerinde tanıtıldığı iddia edilen bu yeni özellik henüz güvenlik araştırmacıları veya Google tarafından doğrulanmadı, bu nedenle reklamı yapıldığı gibi çalışıp çalışmadığı belirsizliğini koruyor.
Bununla birlikte, başka bir hırsız olan Rhadamanthys’in yakın zamanda yapılan bir güncellemede benzer bir yeteneği duyurduğunu ve kötü amaçlı yazılım yazarlarının istismar edilebilir bir güvenlik açığı keşfetme olasılığını artırdığını belirtmekte fayda var.
Kaynak: @g0njxa
BleepingComputer, kötü amaçlı yazılım yazarlarının oturum çerezlerinde bir güvenlik açığı keşfetmiş olma olasılığı hakkında yorum istemek için Google ile birçok kez iletişime geçti, ancak henüz bir yanıt alamadık.
Google ile iletişime geçtikten birkaç gün sonra Lumma’nın geliştiricileri, çerezlerin geri yüklenmesini önlemek için Google tarafından getirilen yeni kısıtlamaları aşmaya yönelik ek bir düzeltme olduğunu iddia eden bir güncelleme yayınladı.
Kaynak: BleepingComputer
BleepingComputer ayrıca özelliğin nasıl çalıştığı ve hangi zayıflıktan yararlandığı hakkında doğrudan Lumma’dan daha fazla bilgi edinmeye çalıştı. Ancak kötü amaçlı yazılım operasyonunun “destek temsilcisi” bu konuda herhangi bir şey paylaşmayı reddetti.
Rhadamantis’in yakın zamanda eklediği benzer özellik sorulduğunda, Lumma’nın menajeri bize rakiplerinin bu özelliği dikkatsizce çalan kişiden kopyaladıklarını söyledi.
Bilgi hırsızları gerçekten de süresi dolmuş Google çerezlerini tanıtıldığı gibi geri yükleyebilirlerse, Google bu çerezlerin çalınmasına yol açan kötü amaçlı yazılım bulaşmasını önlemenin yanı sıra bir düzeltme yayınlayana kadar kullanıcıların hesaplarını korumak için yapabileceği hiçbir şey yoktur.
Önlemler arasında şüpheli web sitelerinden torrent dosyalarının ve çalıştırılabilir dosyaların indirilmesinden kaçınmak ve Google Arama’da tanıtılan sonuçları atlamak yer alır.