2023 年 12 月底，两个黑客组织Lumma和Rhadamanthys使用 API 来恢复在攻击中被盗的过期Google凭据。

之后，另外四个勒索软件程序——Stealc、Medusa、RisePro 和 Whitesnake——也开始使用类似的技术。安全公司 CloudSEK 发现， 当受害者原来被盗的 Google cookie 过期时，恶意软件会使用 Google 的 OAuth“MultiLogin”API 创建新的操作身份验证 cookie。

该API旨在同步不同Google服务的帐户。该恶意软件不仅窃取 Google 网站的身份验证 cookie，还窃取可用于更新或创建新身份验证令牌的特殊令牌。研究人员无法从 Google 找到有关此 API 的更多信息，唯一的文档可以 在 Google Chrome 源代码中找到。

谷歌在声明中证实，它已了解这一情况，但将该问题视为通过恶意软件窃取 cookie 的简单行为。该公司声称会定期更新其保护机制并帮助受恶意软件影响的用户。

Google 建议用户在受影响的设备上注销 Chrome 帐户，并 通过 “我的设备”菜单使所有活动会话失效，这将使刷新令牌无法与 API 一起使用。此外，谷歌建议用户更改密码，特别是如果该密码已在其他网站上使用过。

然而，许多受影响的用户不知道何时或如何采取建议的措施。通常，他们只有在帐户遭到黑客攻击和滥用后才发现账户被感染。Orange Spain 员工的案例就是一个例子，该员工在使用被盗凭据登录公司帐户并更改其 BGP 配置后才发现感染情况 ，从而导致互联网服务中断。

谷歌目前正在通知 API 滥用的受害者，但仍然存在关于如何通知未来受害者以及他们如何知道退出浏览器以撤销身份验证令牌的问题。

许多专家认为，最好的解决方案是限制对上述 API 的访问，以防止其被利用。不过，目前还没有消息表明谷歌计划采取此类措施。谷歌没有回应有关其打击 API 滥用计划的问题。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292437

封面来源于网络，如有侵权请联系删除