Nieuwe malware krijgt toegang tot Google-accounts: ook na veranderen wachtwoord
Indignatie redactie
3 min. lezen
Diverse beveiligingsbedrijven waarschuwen voor een nieuw soort malware die ervoor zorgt dat cybercriminelen op je Google-account kunnen inloggen. Ook als je je wachtwoord hebt veranderd.
Het probleem zit hem in Google Chrome. De malafide software maakt gebruik van verlopen cookies binnen Chrome. Het weet deze cookies te herstellen en biedt ze vervolgens weer aan aan de systemen van Google bij het inloggen. Dat systeem denkt vervolgens dat ze goed zijn en zo wordt er toegang verkregen tot je account. Zelfs al zou je weten dat de malware op jouw systeem is geïnstalleerd en je wachtwoord veranderen, dan lukt het de cybercriminelen alsnog om toegang te krijgen met zo’n oude cookie.
Inloggen op Google-diensten
Beveiligingsbedrijven Hudson Rock en CloudSek waarschuwen voor deze kwetsbaarheid die wordt misbruikt door cybercriminelen. Waarschijnlijk wordt het ook al veelvuldig gedaan, want de malware wordt sinds november aangeboden door meerdere groeperingen. De malware maakt gebruik van een zwakte in het systeem dat zorgt dat je op verschillende Google-diensten vanzelf kunt inloggen met je Google-account. De synchronisatie die hiervoor plaatsvindt werkt met inlogtokens en die tokens zijn hierbij het probleem.
Helaas helpt het veranderen van je wachtwoord dus niet, maar wel schijnt het minder makkelijk te zijn om lang toegang te behouden. Mocht je dus toch iets vreemds merken, dan is het verstandig om voor de zekerheid je wachtwoord te wijzigen. Verder is er op dit moment helaas weinig aan het euvel te doen: je kunt wel extra voorzichtig zijn met het downloaden van software. Als je iets niet kent, dan is het misschien beter het even links te laten liggen.
Pas op met onbekende software
Google weet van het probleem en zou zelfs al een paar keer iets hebben veranderd om de kwaadwillenden tegen te houden, maar die zijn tot nu toe steeds met een tegenaanval op de proppen gekomen. Google werkt dus wel aan een oplossing, maar die is er nog niet. Tot die oplossing er komt, kun je dus beter wat voorzichtiger zijn met welke software je installeert.
Nieuwe malware herstelt cookies om in te breken in uw Google-account
Een ernstige cookiegerelateerde kwetsbaarheid waarbij eerst malware bestanden uit Chrome exfiltreert, lijkt toegang tot accounts mogelijk te maken, zelfs nadat wachtwoorden zijn gewijzigd.
Dit is volgens BleepingComputer en een artikel van CloudSEK en Hudson Rock. Op een hoog niveau vereist deze kwetsbaarheid dat malware op een desktop wordt geïnstalleerd om “inlogtokens die zijn opgeslagen in de lokale database van Chrome te extraheren en te decoderen.”
Het verkregen resultaat wordt vervolgens gebruikt om een verzoek naar een Google API te sturen – normaal gesproken gebruikt door Chrome om accounts tussen verschillende Google-services te synchroniseren – en om “stabiele en persistente Google-cookies” te creëren die verantwoordelijk zijn voor authenticatie en die kunnen worden gebruikt om toegang te krijgen tot uw account. In dit geval is het niet duidelijk of tweefactorauthenticatie enige bescherming biedt.
In wezen maakt het inbrengen van de sleutel uit herstelbestanden de herautorisatie van cookies mogelijk, waardoor de geldigheid ervan wordt gegarandeerd, zelfs na een wachtwoordwijziging.
Wat het meest zorgwekkend is, is hoe dit “herstel”-proces meerdere keren kan worden uitgevoerd als het slachtoffer zich er nooit van bewust wordt dat hij/zij is gecompromitteerd. Erger nog is dat deze exploit, zelfs na het opnieuw instellen van het wachtwoord van een account, nog een keer door de slechterik kan worden gebruikt om toegang te krijgen tot uw account.
Meerdere malwaregroepen, zes volgens BleepingComputer , hebben toegang tot deze kwetsbaarheid en verkopen deze. Deze exploit werd half november voor het eerst geadverteerd. Sommige van deze partijen zeggen met name dat ze deze kwetsbaarheid al hebben bijgewerkt om de tegenmaatregelen die Google heeft getroffen te bestrijden.
We hebben contact opgenomen met Google voor meer informatie. Wat betreft de onmiddellijke maatregelen die u kunt nemen: installeer geen software waarmee u niet bekend bent (aangezien dit malware kan zijn).
