Хакеры научились угонять аккаунты Google по истекшим файлам cookie. Компания молчит

Срок действия файлов cookie ограничен по соображениям безопасности, чтобы не допустить неправомерное использование в случае кражи данных. Восстановив файлы, LummaC2 получает несанкционированный доступ к учетной записи Google после того, как ее владелец вышел из профиля или срок действия файла истек.

Обновленная версия вируса появилась 14 ноября. Его разработчики сообщили, что выпустили обновление, которое позволяет «восстанавливать „мертвые“ cookie с помощью ключей из из файлов Restore (применимо только к cookie Google)». Функция включена в «корпоративную» версию LummaC2. Месячная подписка стоит $1000. Создатели вируса добавили, что файлы cookie можно использовать не более двух раз, это значит, что восстановленный файл сработает лишь один раз.

Первым на рекламу новой функции обратил внимание исследователь в области кибербезопасности компании Hudson Rock Алон Гал. Google оперативно внесла изменения в систему входа в свои учетные записи, но спустя несколько дней после апдейта разработчики LummaC2 выпустили свое обновление, которое обходит новые ограничения. Также аналогичная функция якобы появилась у другого «коммерческого» вируса под названием Rhadamanthys. Создатели LummaC2 утверждают, что конкуренты просто похитили их алгоритм.

Google отказалась комментировать обновление вируса и сообщения о наличии уязвимости при входе в систему. Хакеры также не пояснили, как именно работает функция и какие уязвимости она использует.