بدافزار WarmCookie

بدافزار WarmCookie تهدیدی برای حساب‌های Google !!!

بدافزار WarmCookie یک بدافزار پیچیده است که در اواخر سال 2023 پدیدار شد و عمدتاً با سوء استفاده از آسیب‌پذیری‌ها در فرآیند احراز هویت Google، حساب‌های Google را هدف قرار می‌دهد. اخیرا نشانه هایی از افزایش فعالیت مرتبط با این بدافزار مشاهده شده است. WarmCookie به مهاجمان اجازه می دهد تا session کاربر را حتی پس از بازنشانی رمزهای عبور ربوده و چالش های امنیتی قابل توجهی را برای آنان ایجاد کند.

جزییات فنی بدافزار WarmCookie

نوع بدافزار: Info-stealer

اهداف: حساب‌های Google از جمله Gmail و حساب‌های شرکتی مرتبط با آن

کشف اولیه: اکتبر 2023

خدمات تحت تأثیر: نقطه پایانی Google OAuth (MultiLogin)

مکانیسم کار بدافزار WarmCookie

بدافزار WarmCookie با استخراج نشانه‌ها و شناسه‌های حساب از پروفایل های ست شده در مرورگر Chrome کار خود را آغاز می‌کند. به طور خاص، جدول token_service را در WebData کروم هدف قرار می دهد و از این اعتبارنامه ها برای تولید مجدد کوکی های session استفاده می کند. این فرآیند به مهاجمان اجازه می‌دهد تا دسترسی مداوم به حساب‌های در معرض خطر را حفظ کنند و از اقدامات امنیتی متعارف مانند بازنشانی رمز عبور و احراز هویت دو مرحله‌ای (2FA) عبور کنند.

مسیرهای فایل:

%LOCALAPPDATA%\Google\Chrome\User Data\Default\Web Data

کلیدهای رجیستری:

HKCU\Software\Google\Chrome\PreferenceMACs\Default\Extensions\lmhojphfgmoabccjaafidpjphflmjhil

آدرس‌های IP (از 7 ژوئن 2024):

185[.]49.70.98

87[.]251.67.92

80[.]66.88.146

185[.]49.69.41

هش فایل (SHA256):

ccde1ded028948f5cd3277d2d4af6b22fa33f53abde84ea2aa01f1872fad1d13

آسیب پذیری های مورد سوء استفاده در بدافزار WarmCookie

Google OAuth MultiLogin Endpoint: مهاجمان از این نقطه پایانی برای همگام سازی حساب های Google در بین سرویس ها استفاده می کنند. با استخراج جفت‌های شناسه رمز-GAIA، کوکی‌های Google را بازسازی می‌کنند و دسترسی دائمی به حساب‌های قربانی را فراهم می‌کنند.

گروه های تحت تاثیر در بدافزار WarmCookie

این تکنیک به سرعت توسط چندین گروه بدافزار infostealer، از جمله:

• Lumma
• Rhadamanthys
• Risepro
• Meduza
• Stealc
• White Snake

استراتژی هایی برای کاهش خطر بدافزار WarmCookie

Enhanced Safe Browsing: برای محافظت در برابر بارگیری های فیشینگ و بدافزار، این ویژگی را در Chrome فعال کنید.

Regular Sign-Out: بطور کامل از تمام دستگاه ها Sign-Out نمایید تا session به سرقت رفته را باطل کنید.

Endpoint Protection: برای شناسایی و حذف بدافزار از راه‌حل‌های حفاظت قوی توصیه شده استفاده کنید.

Network Monitoring: نظارت بیشتری بر روی الگوهای ترافیک شبکه خصوصا ترافیک های غیر عادی که نشان دهنده خروج داده ها هستند انجام دهید.

پاسخ گوگل

گوگل این مشکل را پذیرفته و اقداماتی را برای ایمن سازی حساب های در معرض خطر انجام داده است. آنها تأکید می‌کنند که کاربران می‌توانند با خروج از مرورگرهای آسیب‌دیده یا استفاده از ویژگی sign-out از راه دور موجود در تنظیمات حساب Google خود، sessionهای دزدیده شده را باطل کنند.

توصیه ها

آگاهی و آموزش: به کاربران در مورد خطرات دانلود نرم افزارهای نامعتبر و اهمیت حفظ شیوه های امنیتی به روز آموزش داده شود.

به روز رسانی های منظم: مرورگرها و نرم افزارهای امنیتی را به روز نگه دارید تا خود را در برابر آخرین تهدیدات محافظت کنید.

واکنش به حادثه: یک طرح جامع واکنش به حادثه را برای رسیدگی سریع به هرگونه مشکل احتمالی ایجاد کنید.

نتیجه گیری

بدافزار WarmCookie به دلیل توانایی اش در دور زدن روش های امنیتی قدیمی، یک تهدید قابل توجه بشمار می رود. هوشیاری مستمر، آموزش کاربران و اقدامات امنیتی قوی برای کاهش خطرات ناشی از این بدافزار ضروری است.

منابع:

Cybersecsentinel

CloudSEK

Bleepingcomputer

Primaonline