بدافزار سرقتی جدیدی در صحنه ظاهر شده است informace و در انجام این کار از یک نقطه پایانی ناشناس Google OAuth به نام MultiLogin برای بازخوانی کوکیهای احراز هویت منقضی شده و ورود به حسابهای کاربری حتی اگر رمز عبور حساب بازنشانی شده باشد، سوء استفاده میکند. وب سایت BleepingComputer در این باره گزارش داده است.
در پایان نوامبر سال گذشته، BleepingComputer از جاسوسافزاری به نام Lumma گزارش داد که میتواند کوکیهای احراز هویت گوگل را که در حملات سایبری منقضی شدهاند بازیابی کند. این فایلها به مجرمان سایبری امکان دسترسی غیرمجاز به حسابهای Google را حتی پس از خروج صاحبان آنها، بازنشانی رمز عبور یا منقضی شدن جلسهشان میدهند. وب سایت با پیوند دادن به گزارش سرور CloudSEK، نحوه عملکرد این حمله روز صفر را شرح داده است.
به طور خلاصه، این نقص اساساً به بدافزار اجازه می دهد تا بر روی رایانه رومیزی نصب شود تا اعتبارنامه های موجود در پایگاه داده محلی Google Chrome را استخراج و رمزگشایی کند. CloudSEK ویروس جدیدی را کشف کرده است که کاربران کروم را برای دسترسی به حساب های گوگل هدف قرار می دهد. این بدافزار خطرناک به ردیابهای کوکی متکی است.
دلیل اینکه ممکن است بدون اینکه کاربران متوجه شوند این اتفاق بیفتد این است که جاسوس افزار ذکر شده در بالا آن را فعال می کند. میتواند کوکیهای منقضی شده Google را با استفاده از یک کلید API جستجوی تازه کشفشده بازیابی کند. بدتر از همه، مجرمان سایبری می توانند یک بار دیگر از این سوء استفاده برای دسترسی به حساب شما استفاده کنند، حتی اگر رمز عبور حساب Google خود را بازنشانی کرده باشید.
به گفته BleepingComputer، او چندین بار در مورد این مشکل گوگل با گوگل تماس گرفته است اما هنوز پاسخی دریافت نکرده است.