Neue Malware missbraucht Cookies und verschafft sich so Zugang zu Google Konten

Neue Malware (Infostealer) ermöglicht Missbrauch von Google-Konten

Eine neue entdeckt schädliche Software (Malware) umgeht den Passwortschutz von Google-Konten durch unbemerkte Übernahme von Google-Cookies – Passwortwechsel bleibt ohne Effekt.

Der Lumma-Trojaner greift auf Browser-Daten und eine unbekannte Google-Funktion zu, um sich fortwährenden Zugang zu Nutzerkonten zu verschaffen.

Lumma Trojaner wendet neuen Trick an

Wird ein Computer von Schadsoftware befallen, gilt es als eine der ersten Maßnahmen, sämtliche Passwörter neu zu setzen. Doch es zeigt sich, dass diese Aktion nicht immer geeignet ist, um Online-Konten vor unbefugtem Zugriff zu schützen. Aktuelle Versionen unterschiedlicher Malware-Typen haben die Fähigkeit entwickelt, die verschlüsselten Authentifizierungszusätze für Google-Konten wiederherzustellen, sogar nachdem Nutzer ihr Passwort geändert haben könnten.

Schon im letzten Herbst starteten mehrere Gruppen aus dem cyberkriminellen Milieu den Verkauf einer innovativen Funktion ihrer Diebstahl-orientierten Schadprogramme. Nach der Einrichtung sammeln diese Programme gezielt sensible Informationen wie Anmeldedaten und Authentifizierungszusätze. Einige Entwickler solcher Schadsoftware preisen nun eine Fähigkeit an, die die Authentifizierungszusätze aktualisieren kann, was Änderungen am Passwort nutzlos macht.

Google Cookies

Malware nutzt Schwachstelle in Google API

Eine Untersuchung von IT-Sicherheitsexperten bestätigt, dass diese Fähigkeit keine Finte ist. Mithilfe einer nicht öffentlich dokumentierten Schnittstelle von Google, die ursprünglich für die Synchronisation von Konteninformationen über verschiedene Endgeräte hinweg vorgesehen ist, kann die Malware gültige Cookies für entwendete Konten generieren.

Die Schadsoftware lädt verschlüsselte Zugangstokens durch das API herunter und entschlüsselt sie, wobei sie die im Browser des Opfers entwendeten Schlüssel verwendet.

Passwortwechsel bieten keinen Schutz

Da die Authentifizierungstokens nicht an das Google-Passwort des Nutzers geknüpft sind, bleibt auch ein Passwortwechsel ohne Auswirkung und Täter erlangen weiterhin Zugang zu allen Google-Konten des Opfers, die während der Infektion aktiv waren.

Es ist bisher nicht bekannt, ob und wann Google diese Schwachstelle beheben wird, ebenso unklar ist, ob Nutzer effektive Schutzmaßnahmen ergreifen könnten. Angesichts der Tatsache, dass nun mehrere Schadsoftware-Varianten diesen Exploit nutzen, dürfte bei den Entwicklern von Google Alarmstimmung herrschen.

Probleme mit der Implementierung von OAuth oder das Abfangen von OAuth-Tokens haben bereits in der Vergangenheit zu Sicherheitsproblemen geführt, wie bei einem schwerwiegenden Angriff auf Github im Jahr 2022 deutlich wurde.

Selbst der Wechsel eines Passwortes macht keinen Unterschied
Selbst der Wechsel eines Passwortes macht keinen Unterschied

Das müssen Google-Nutzer jetzt tun

Es ist wichtiger denn je, darauf zu achten, sich keine Malware einzufangen. Also: Keine bedenklichen oder unsicheren Webseiten aufrufen, am besten Antiviren-Software benutzen und bei Bedenken mal den Rechner scannen. Sofern Malware entdeckt wurde, diese entfernen und anschließend die Passwörter aller Google-Konten erneuern.

Ganz besonders wichtig: Multifaktor-Authentifizierung verwenden. Wer seine Online-Konten durch einen zweiten Code oder einen Hardware-Key absichert – was Google schon lange anbietet und auch empfiehlt -, kann seine Online-Konten deutlich besser schützen.

 

SCHIEB+ Immer bestens informiert

Schieb+ Tarife
Nach oben scrollen