Des chercheurs en sécurité à jour affirment que les logiciels malveillants volant des informations peuvent toujours accéder aux comptes Google compromis des victimes même après que les mots de passe ont été changés. Une exploitation zero-day de la sécurité des comptes Google a été initialement évoquée par un cybercriminel connu sous le nom de « PRISMA » en octobre 2023, se vantant que la technique pouvait être utilisée pour se reconnecter au compte d’une victime même après que le mot de passe a été changé. Elle peut également être utilisée pour générer de nouveaux jetons de session afin de récupérer l’accès aux courriers électroniques, au stockage dans le cloud, et plus encore, selon les besoins. Depuis lors, les développeurs de logiciels malveillants voleurs d’informations – principalement ciblant Windows, semble-t-il – ont progressivement mis en œuvre cette exploitation dans leur code. Le nombre total de familles de logiciels malveillants connus exploitant cette vulnérabilité s’élève à six, dont Lumma et Rhadamanthys, tandis que Eternity Stealer travaille également sur une mise à jour à publier dans un avenir proche. Ils sont appelés voleurs d’informations car une fois qu’ils s’exécutent sur l’ordinateur d’une personne, ils se mettent à chercher des informations sensibles – telles que les informations d’identification du bureau à distance, les cookies des sites web et les portefeuilles de crypto-monnaies – sur l’hôte local et les divulguent à des serveurs distants exploités par des malfaiteurs. Les experts de CloudSEK affirment avoir découvert que l’origine de l’exploitation des comptes Google se situe dans l’endpoint « MultiLogin » non documenté de Google OAuth.
Menu
