Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Die Lumma-Malware, ein Information-Stealer, der auch als LummaC2 bekannt ist und im Darknet als Malware as a Service angeboten wird, wirbt derzeit mit einem spannenden neuen Feature. Offenbar haben die Entwickler des Schädlings eine Möglichkeit gefunden, abgelaufene Authentifizierungs-Cookies von Google wiederherzustellen, die dann genutzt werden können, um Google-Konten zu übernehmen.

Zum Einsatz kommen dabei sogenannte Session-Cookies, die es dem legitimen Kontoinhaber ermöglichen, sich während einer Browser-Sitzung automatisch bei den Diensten einer Website anzumelden. Da diese Cookies jedem erlauben, sich in das Konto des Besitzers einzuloggen, haben sie aus Sicherheitsgründen in der Regel eine begrenzte Lebensdauer, um Missbrauch zu verhindern, falls sie gestohlen werden. Sollte die Behauptung der Lumma-Entwickler also stimmen, könnten sich Nutzer der Malware Zugang zu jedem Google-Konto verschaffen, auch wenn der Kontoinhaber sich ausgeloggt hat oder die Sitzung bereits abgelaufen ist.

Aufmerksam auf das neue Werbeversprechen der Hacker wurde Alon Gal von Hudson Rock, als er in einem Forenbeitrag der Lumma-Entwickler von einem Update las, das am 14. November veröffentlicht wurde. Darin wurde erstmals darauf hingewiesen, dass Lumma nun die Möglichkeit bietet, „tote“ Cookies mit einem Schlüssel aus Wiederherstellungsdateien wiederherzustellen. Das würde allerdings nur bei Google-Konten funktionieren. Darüber hinaus müssen Interessenten das teuerste von Lumma angebotene Abo für 1000 US-Dollar abschließen, um die neuen Funktionen zu nutzen.

In dem Forenbeitrag wird auch klargestellt, dass jeder Schlüssel zweimal verwendet werden kann, sodass die Wiederherstellung von Cookies nur einmal funktioniert. Doch selbst das würde immer noch ausreichen, um katastrophale Angriffe auf Unternehmen zu starten, selbst wenn diese ansonsten hervorragende Sicherheitsvorkehrungen getroffen haben.

Noch ist allerdings unklar, ob das neue Feature auch so funktioniert, wie von den Lumma-Entwicklern beworben. Eine Überprüfung des Werbeversprechens durch unabhängige Sicherheitsforscher oder durch Google steht noch aus. Es ist jedoch erwähnenswert, dass ein anderer Stealer namens Rhadamanthys eine ähnliche Funktion in einem kürzlich veröffentlichten Update angekündigt hat, was die Wahrscheinlichkeit erhöht, dass Malware-Autoren eine ausnutzbare Sicherheitslücke entdeckt haben.

Bei Google scheint man daran zu arbeiten, die Sicherheitslücke zu schließen. Darauf lässt zumindest ein Post der Lumma-Entwickler schließen, in dem behauptet wird, dass ein neues Update verfügbar sei, mit dem sich neu eingeführte Beschränkungen von Google zur Wiederherstellung von Cookies umgehen ließen. Sollten sich diese Behauptungen bewahrheiten, gäbe es nicht viel, was Google-Nutzer tun könnten, um ihre Konten zu schützen – außer darauf zu warten, dass Google die Sicherheitslücke so schnell wie möglich schließt.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel