Die Schwachstelle wurde erstmals am 20. Oktober 2023 von einem Entwickler namens Prisma über Telegram bekannt gegeben. Später wurde er in mehrere Malwareprogramme eingebaut, darunter Lumma, Rhadamanthys, Risepro, Meduza, Stealc Stealer und White Snake und weitere Malware-Entwickler arbeiten Berichten zufolge an ähnlichen Updates.

Was macht der Exploit?

Der Exploit ermöglicht es, abgelaufene Sitzungscookies durch Token-Manipulation wiederherzustellen und so dauerhaften Zugang zu den Google-Diensten der Zielperson zu erhalten. Das geht, selbst wenn der Nutzer das Passwort zurücksetzt. Allerdings muss die Malware zuerst Zugang zu einem bestehenden Sitzungscookie erhalten.

Googel Konten duch OAuth-Exploit

Die Forscher haben den Exploit nachgebaut, um seine Funktionsweise zu verstehen. Bei ihrer Untersuchung der Lumma-Malware entdeckten sie den Multilogin-Endpunkt, der offenbar ein interner Mechanismus zur Synchronisierung von Google-Konten in verschiedenen Diensten ist.

Dieser Endpunkt sorgt für ein einheitliches Nutzererlebnis, indem er die Kontostände im Browser mit den Authentifizierungs-Cookies von Google abgleicht. Er akzeptiert einen Vektor von Konto-IDs und Authentifizierungs-Tokens, die für die Verwaltung gleichzeitiger Sitzungen oder den nahtlosen Wechsel zwischen Nutzerprofilen unerlässlich sind.

Gezielte Manipulationen der an den Endpunkt übermittelten Datenpaare können jedoch ausgenutzt werden, um Google Service Cookies neu zu generieren. Lumma verwendet eine Verschlüsselung, um die Kernkomponente des Exploits und den Exploit-Prozess zu verbergen und entgeht so der Erkennung durch gängige Sicherheitslösungen.

Google kennt das Problem

Google scheint sich des Problems bewusst zu sein, wie Bleeping Computer berichtet. So hat Google auch versucht die Ausnutzung mit Abhilfemaßnahmen zu unterbinden. Dennoch hat der Entwickler von Lumma die Malware aktualisiert, um Googles Maßnahmen zur Missbrauchserkennung zu umgehen. Google hat sich zwar nicht offiziell zu dem Missbrauch des Multilogin-Endpunkts geäußert, aber seine Maßnahmen lassen darauf schließen, dass das Problem bekannt ist.