2023-11-22 09:51:42

一种名为“Lumma”或“LummaStealer”的信息窃取恶意软件最近推出了一项新功能，声称能够恢复过期的Google身份验证cookie。Lumma于2022年首次被发现，并以恶意软件即服务的形式运行。LummaStealer使用基于订阅的计划，威胁参与者可以租用和分发恶意软件。在最近的更新中，每月支付1000美元的LummaCorporate级别会员现在可以恢复过期的Google身份验证cookie。如果威胁行为者获得了这些cookie的访问权限，他们就可以冒充与该帐户关联的用户并绕过标准登录程序。

Google身份验证/会话Cookie是存储在用户设备上的小数据片段，其中包含与其登录会话相关的信息。这些cookie对于维护用户身份验证至关重要，允许用户在不同页面或会话之间保持登录状态。Cookie涵盖各种Google服务，不仅限于Gmail帐户。获得有效会话cookie的威胁参与者可以有效劫持受害者的​​Google帐户。Cookie具有有效期，作为一种安全措施，旨在限制攻击者的机会窗口。到期日期和各种安全机制的结合使威胁行为者很难成功利用它们。

HudsonRock的CTOAlonGal最先发现了声称能够复活cookies的Lumma更新。该更新表明，即使所有者更改密码，它也可以从受感染的设备中提取不可过期的Googlecookie。Lumma开发人员声称这“也许是该项目启动以来最大的更新”。值得注意的是，另一种名为Rhadamanthys的信息窃取恶意软件最近宣布了类似的功能。当BleepingComputer询问此事时，Lumma代理声称该功能是从LummaStealer复制的。

Lumma的最新更新声称将恢复过期的Google身份验证cookie

LummaStealer的功能尚未得到Google或安全研究人员的验证。正如Lumma声称的那样，“使用恢复文件中的密钥恢复失效的cookie(仅适用于Googlecookie)”的能力相当可怕。谷歌似乎意识到了这一威胁，发布了一个更新，对代币提出了一些限制。因此，Lumma进行了反击，发布了“修复了Google日志”的更新。

窃取Google会话cookie会带来很多问题。威胁行为者将直接访问谷歌帐户，从而使他们能够利用一系列敏感信息。此外，攻击者可以冒充受害者，绕过登录程序并控制他们的电子邮件、文档、联系人和其他个性化设置。如果受害者将其Google凭据用于多种服务，他们可能会代表受害者发送电子邮件或消息，并可能危及其他关联帐户。所以，是的，这是一个严重的威胁。