Un equipo de investigadores ha descubierto que un 'endpoint' no documentado del protocolo de acceso autorizado Google OAuth llamado MultiLogin ha permitido a los ciberdelincuentes restaurar 'cookies' de sesión caducadas e iniciar sesión en las cuentas de los usuarios sin necesidad de una autenticación.
Las 'cookies' de sesión permiten al sitio web almacenar información sobre la sesión de navegación hasta que esta se cierre, con el fin de reconocer a un usuario en particular y ofrecer lo que este necesita. Por ejemplo, el idioma seleccionado o los datos de acceso. Con ellas, también es posible acceder a páginas y servicios sin introducir las credenciales cada vez que se ingrese.
A diferencia de las 'cookies' persistentes, que permanecen almacenadas en el ordenador hasta que se eliminan o una vez llegue su fecha de caducidad -establecida en el apartado de Configuración-, las de sesión se borran al cerrar el navegador, lo que confiere mayor seguridad a los usuarios sobre la información que comparten con este.
A finales de noviembre de 2023 los desarrolladores del 'infostealer' Lumma aseguraban que eran capaces de restaurar las 'cookies' de autenticación de Google caducadas y robadas en campañas maliciosas, una capacidad que posteriormente se añadió a otros 'malware' del estilo, como Rhadamanthys, Risepro, Meduza y Stealc Stealer.
De esta manera, dicha información permitía a los ciberdelincuentes obtener acceso no autorizado a las cuentas de usuario de Google a pesar de que sus propietarios hubiesen cerrado sesión del navegador -y, con ello, hubiesen borrado las 'cookies' de sesión-, restablecido sus contraseñas o su sesión hubiese expirado.
El origen de esta amenaza se encuentra en octubre, cuando un usuario conocido como PRISMA aseguró a través de su canal de Telegram que había descubierto una manera de restaurar esas 'cookies' de autenticación de Google caducadas al conseguir, por un lado, que la sesión siga siendo válida incluso cuando se cambia la contraseña de la cuenta y, por otro, generar 'cookies' válidas en caso de una interrupción de la sesión para seguir accediendo de forma no autorizada a ella.
Fue entonces cuando los investigadores de Cloudsek comenzaron a investigar su actuación aplicando ingeniería inversa al 'exploit' en primer lugar. Tras este procedimiento, determinaron que los ciberdelincuentes habrían explotado un 'endpoint' no documentado de Google OAuth, identificado como MultiLogin, como recogen en su blog oficial.
MultiLogin es un mecanismo interno diseñado para sincronizar cuentas de Google entre servicios, lo que garantiza que los estados de la cuenta del navegador se alineen con las 'cookies' de autenticación de Google, tal y como se revela a través del código fuente de Chromium.
Según los investigadores, este 'endpoint' "funciona aceptando vectores de ID de cuenta y tokens de inicio de sesión, datos esenciales para administrar sesiones simultáneas o cambiar entre perfiles de usuario sin problemas".
En este sentido, han insistido en que si bien MultiLogin «desempeña un papel vital en la autenticación del usuario», también se puede explotar con 'software' malicioso «si se maneja mal», siempre que los cibercriminales sepan abordar los mecanismos de autenticación internos de Google.
Asimismo, han señalado que este 'exploit' sigue siendo efectivo incluso después de que los usuarios hayan restablecido sus contraseñas, lo que permite "una explotación prolongada y potencialmente desapercibida de las cuentas y los datos de los usuarios".