Тригонометрический вирус LummaC2 получил четвертое обновление, которое позволяет ему красть учетные записи Google при помощи файлов cookie с истекшим сроком действия.
Тригонометрический вирус LummaC2 получил четвертое обновление, которое позволяет ему красть учетные записи Google при помощи файлов cookie с истекшим сроком действия.
Срок действия файлов cookie ограничен по соображениям безопасности, чтобы не допустить неправомерное использование в случае кражи данных. Восстановив файлы, LummaC2 получает несанкционированный доступ к учетной записи Google после того, как ее владелец вышел из профиля или срок действия файла истек.
Обновленная версия вируса появилась 14 ноября. Его разработчики сообщили, что выпустили обновление, которое позволяет «восстанавливать „мертвые“ cookie с помощью ключей из из файлов Restore (применимо только к cookie Google)». Функция включена в «корпоративную» версию LummaC2. Месячная подписка стоит $1000. Создатели вируса добавили, что файлы cookie можно использовать не более двух раз, это значит, что восстановленный файл сработает лишь один раз.
Первым на рекламу новой функции обратил внимание исследователь в области кибербезопасности компании Hudson Rock Алон Гал. Google оперативно внесла изменения в систему входа в свои учетные записи, но спустя несколько дней после апдейта разработчики LummaC2 выпустили свое обновление, которое обходит новые ограничения. Также аналогичная функция якобы появилась у другого «коммерческого» вируса под названием Rhadamanthys. Создатели LummaC2 утверждают, что конкуренты просто похитили их алгоритм.
Google отказалась комментировать обновление вируса и сообщения о наличии уязвимости при входе в систему. Хакеры также не пояснили, как именно работает функция и какие уязвимости она использует.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.