O malware Lumma (também conhecido como ‘LummaC2’) está a promover uma nova funcionalidade que, alegadamente, permite aos cibercriminosos restaurar os cookies expirados do Google. Se assim for, vão aparecer muitas dores de cabeça, já que com esta informação os criminosos poderão sequestrar contas Google.
Malware Lumma poderá “roubar a chave” de qualquer porta Google
Os cookies de sessão são “ficheiros web específicos” utilizados para permitir que uma sessão de navegação deixe entrar automaticamente o seu “proprietário” por forma a navegar nos serviços de um sítio Web. Em grosso modo, quando estes cookies estão ativos, por exemplo, o utilizador ao ligar o seu navegador e entrar no Gmail, não precisa de meter de novo as credenciais.
Uma vez que estes cookies permitem que qualquer pessoa que os possua inicie sessão na conta do proprietário, têm normalmente um tempo de vida limitado por razões de segurança, para evitar uma utilização indevida e abusiva em caso de roubo.
Portanto, se o malware Lumma conseguir restaurar estes cookies, dá acesso não autorizado aos criminosos para entrar em qualquer conta Google, mesmo após o proprietário legítimo ter terminado a sessão na sua conta ou de a sessão ter expirado.
Malware está já à venda e custa mil dólares mês
O investigador de segurança, Alon Gal, da Hudson Rock, descobriu este malware numa publicação, no fórum de criadores de malware, destacando uma atualização lançada a 14 de novembro, que afirmava a “capacidade de restaurar cookies mortos utilizando uma chave de ficheiros de restauro (aplica-se apenas aos cookies da Google)”.
Esta nova funcionalidade só foi disponibilizada aos subscritores do plano “Corporate” de nível mais elevado, que custa aos cibercriminosos $1.000/mês.
O post do fórum também esclarece que cada chave pode ser usada duas vezes, de modo a que o restauro das cookies possa funcionar apenas uma vez. Isso ainda seria suficiente para lançar ataques catastróficos em organizações que, de outra forma, seguem boas práticas de segurança.
Esta nova funcionalidade, alegadamente introduzida em versões recentes do Lumma, ainda não foi verificada por investigadores de segurança ou pela Google, pelo que é incerto se funciona ou não como anunciado.
No entanto, vale a pena mencionar que outro software ladrão, o Rhadamanthys, anunciou uma capacidade semelhante numa atualização recente, aumentando a probabilidade de os autores de malware terem descoberto uma falha de segurança explorável.
Segundo informações, a Google foi contactada várias vezes, com pedidos de esclarecimento e comentários sobre este malware, mas ainda não prestou qualquer esclarecimento.
A questão parece ainda mais grave, visto que dias depois de a Google tomar conhecimento do problema, os criadores do Lumma lançaram uma atualização que afirma ser uma correção adicional para contornar as restrições recentemente introduzidas pela Google para impedir o restauro dos cookies.
Contactado, o “agente de suporte” da operação de malware recusou-se a partilhar qualquer informação sobre o assunto. Contudo, quando questionado, referiu que o Rhadamantis adicionou recentemente funcionalidades que eram uma cópia do Lumma. Portanto, o problema agrava-se a cada dia que passa.
Utilizadores estão de “mãos amarradas”
Se os ladrões de informação podem, de facto, restaurar os cookies expirados do Google, tal como foi promovido, não há nada que os utilizadores possam fazer para proteger as suas contas até que o Google lance uma correção, para além de prevenir a infeção por malware que leva ao roubo desses cookies.
As precauções incluem evitar fazer download de ficheiros torrent e executáveis de sites duvidosos e ignorar os resultados promovidos na Pesquisa Google.