16/12/2024

Actu CybersécuritéWeb

Compromission de comptes Google : le malware Lumma serait capable de restaurer les cookies expirés !

Le logiciel malveillant Lumma serait doté d'une nouvelle fonctionnalité lui permettant de "restaurer" un cookie Google déjà expiré, ce qui permettrait de compromettre des comptes Google !

Lumma, alias LummaC2, est un logiciel malveillant de type "info-stealer", c'est-à-dire qu'il est capable de voler des données sur les machines infectées, notamment des mots de passe dans les navigateurs, ainsi que des cookies de session.

Sur le Dark Web, il est possible de louer ce malware en échange d'un abonnement payé mensuellement. D'ailleurs, l'abonnement le plus cher, nommé "Corporate" et qui est facturé 1000 dollars par mois aux cybercriminels, intègre une nouvelle fonctionnalité permettant de restaurer (ou ressusciter si vous préférez), un cookie de session Google déjà expiré.

Pour rappel, un cookie de session est créé en local sur une machine lors de l'authentification à un service Web, afin de maintenir l'utilisateur connecté pendant une durée limitée. En effet, la durée de vie limitée du cookie de session permet, en principe, de se protéger contre l'utilisation abusive en cas de vol de cette donnée sensible.

Dans le cas présent, la restauration d'un cookie de session Google permettrait aux cybercriminels qui font usage de Lumma d'obtenir un accès non autorisé à un compte Google ! Ceci est vrai même si l'utilisateur s'est déconnecté de son compte Google ou que la session a expiré. Comment est-ce possible ?

Pour le moment, nous ne savons pas si c'est réellement possible : Google n'a pas communiqué sur le sujet, et il n'y a pas eu d'analyse de la part de chercheurs en sécurité. Dans un message mis en ligne par les développeurs de Lumma et repéré par Alon Gal d'Hudson Rock, il est précisé que le malware a la "possibilité de restaurer les cookies morts en utilisant une clé à partir des fichiers de restauration (ne s'applique qu'aux cookies Google)". Il n'y a pas plus de détails, en fait.

Pourtant, la technique semble être réelle puisqu'un autre malware nommé "Rhadamanthys" bénéficie de la même fonctionnalité. Sa fonction serait "une copie" de celle présente dans Lumma, mais c'est tout de même un signe que la technique est opérationnelle.

À notre niveau, nous ne pouvons pas faire grand-chose pour nous protéger, si ce n'est ne pas être infecté par ce type de logiciel malveillant... Si la technique est fonctionnelle, la balle est plutôt dans le camp de Google... À suivre.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.