Hackers descobriram uma forma de acessar contas de e-mail do Google sem a necessidade de senha, o que significa que eles conseguem até mesmo burlar a autenticação de dois fatores.
Um relatório publicado pela empresa de segurança Cloudsek detalha a gravidade dessa descoberta, com impactos potenciais para investidores em criptomoedas.
A origem da vulnerabilidade é um exploit crítico capaz de gerar cookies persistentes no navegador através da manipulação de tokens. Esses cookies permitem o acesso contínuo aos serviços do Google, mesmo após a redefinição de senha do usuário.
A falha foi revelada primeiramente em um canal do Telegram em outubro de 2023, com o malware Lumma Infostealer incorporando o exploit já em novembro. Nos meses seguintes, grupos hackers como Rhadamanthys, Stealc, Meduza, RisePro e WhiteSnake também implementaram a técnica, demonstrando a rapidez com que o exploit se disseminou.
A descoberta inicial, feita pela plataforma de risco digital XVigil da CloudSEK, revelou que o exploit tinha duas características principais: a persistência de sessão e a capacidade de gerar cookies válidos, permitindo que os atacantes mantivessem o acesso não autorizado.
Criptomoedas em risco
Para os investidores em criptomoedas, a descoberta é perturbadora. Muitos investidores dependem de serviços do Google para gerenciar suas contas e transações, além de usarem o aplicativo de autenticação de dois fatores.
Com a possibilidade de terem suas contas de e-mail comprometidas, o risco se estende às informações pessoais e carteiras digitais.
No ano passado, por exemplo, um Youtuber brasileiro perdeu 180 mil reais após baixar um software na internet, não ficando claro como os fundos haviam sido roubados.
Ainda em 2023, outro investidor afirmou ter perdido R$ 100 mil reais após baixar um software pirata. A forma como os fundos foram roubados, no entanto, permaneceram um mistério.
A descoberta dos malwares que estão roubando sessões no navegador, portanto, pode lançar luz sobre como os hackers estão agindo.
Os métodos empregados para explorar a vulnerabilidade são notavelmente sofisticados. O Lumma Infostealer, por exemplo, manipula o par token:GAIA ID, um componente crítico no processo de autenticação do Google.
Essa manipulação, juntamente com o endpoint MultiLogin, permitiu a regeneração de cookies dos serviços do Google. O aspecto mais alarmante é que essa exploração permanece eficaz mesmo depois que os usuários alterem suas senhas, permitindo um acesso prolongado e potencialmente despercebido às contas e dados dos usuários.
A resposta da comunidade de segurança cibernética foi rápida, mas a natureza evasiva do exploit significa que medidas definitivas ainda estão em desenvolvimento.
Como se proteger?
A recomendação para os usuários, especialmente aqueles envolvidos com criptomoedas, é permanecerem vigilantes. Medidas como não instalar softwares de fontes desconhecidas ou piratas, sair de todos os perfis do navegador para invalidar os tokens de sessão atuais e não salvar senhas no navegador são aconselhadas como precauções imediatas.
O incidente destaca a necessidade de vigilância contínua tanto das vulnerabilidades técnicas quanto das fontes de inteligência humana para se manter à frente das ameaças cibernéticas emergentes.
A colaboração entre inteligência técnica e humana é crucial para descobrir e compreender explorações sofisticadas como a analisada neste relatório. Enquanto o mundo digital continua a evoluir, também evoluem as táticas dos atores de ameaças, lembrando-nos da constante necessidade de avançar em nossa capacidade de defesa cibernética.