Redazione RHC : 31 Dicembre 2023 09:47
Secondo un rapporto fornito da CloudSEK, un nuovo metodo di hacking consente agli aggressori di sfruttare la funzionalità del protocollo di autorizzazione OAuth 2.0.
Tale attacco permette di compromettere gli account Google. Questo metodo consente di mantenere sessioni valide rigenerando i cookie, anche dopo aver modificato l’indirizzo IP o la password.
Il team di ricercatori di CloudSEK ha scoperto un attacco effettuato utilizzando un punto di accesso Google Oauth non documentato chiamato “MultiLogin“.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“MultiLogin” è un meccanismo interno progettato per sincronizzare gli account Google tra diversi servizi. Tale meccanismo garantisce che gli stati dell’account nel browser corrispondano ai cookie di autenticazione di Google.
Lo sviluppatore dell’exploit ha espresso la sua disponibilità a collaborare. Cosa che ha accelerato la scoperta del punto di accesso responsabile della rigenerazione dei cookie.
L’exploit è stato integrato nel malware Lumma Infostealer il 14 novembre. Le caratteristiche principali di Lumma includono la persistenza della sessione e la generazione di cookie. Il programma mira a estrarre token e gli ID account necessari attaccando la tabella token_service nei WebData dei profili Chrome registrati.
“La sessione rimane valida anche quando viene modificata la password dell’account, il che rappresenta un vantaggio unico per aggirare le tipiche misure di sicurezza“. Ha affermato nel rapporto PRISMA, l’autore dell’exploit.
I ricercatori hanno notato una tendenza allarmante verso una rapida integrazione degli exploit tra vari gruppi di criminali informatici. Lo sfruttamento del punto di accesso MultiLogin OAuth2 non documentato di Google è un ottimo esempio di complessità. L’approccio si basa su una sottile manipolazione del token GAIA (Google Accounts and ID Administration). Il malware nasconde il meccanismo di exploit utilizzando un livello specifico di crittografia.
Questa tecnica di sfruttamento dimostra un alto livello di sofisticazione e comprensione dei meccanismi di autenticazione interni di Google. Manipolando la coppia “token:GAIA ID”, Lumma può rigenerare continuamente i cookie per i servizi Google. Ciò che è particolarmente preoccupante è che questo exploit rimane efficace anche dopo che le password degli utenti vengono reimpostate. “Consentendo uno sfruttamento continuo e potenzialmente non rilevabile degli account e dei dati degli utenti,” ha concluso il team CloudSEK.
RedazioneCisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
Nel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
