Malwares de roubo de informações estão explorando ativamente um ponto de extremidade não documentado do Google OAuth chamado MultiLogin para sequestrar sessões de usuários e manter o acesso contínuo aos serviços do Google, mesmo após uma redefinição de senha.

Segundo os pesquisadores o exploit crítico facilita a persistência da sessão e a geração de cookies, permitindo que atores de ameaças mantenham acesso a uma sessão válida de maneira não autorizada.

A técnica foi revelada pela primeira vez por um ator de ameaças chamado PRISMA em 20 de outubro de 2023, em seu canal do Telegram. Desde então, ela foi incorporada em várias famílias de malwares como serviço (MaaS), incluindo Lumma, Rhadamanthys, Stealc, Meduza, RisePro e WhiteSnake.

Ao ser contatado para comentar, o Google reconheceu a existência do método de ataque, mas observou que os usuários podem revogar as sessões roubadas saindo do navegador afetado. O Google está ciente de relatórios recentes de uma família de malware roubando tokens de sessão.

Fonte: HackerSec