Die Lumma-Malware, ein Information-Stealer, der auch als LummaC2 bekannt ist und im Darknet als Malware as a Service angeboten wird, wirbt derzeit mit einem spannenden neuen Feature. Offenbar haben die Entwickler des Schädlings eine Möglichkeit gefunden, abgelaufene Authentifizierungs-Cookies von Google wiederherzustellen, die dann genutzt werden können, um Google-Konten zu übernehmen.
Zum Einsatz kommen dabei sogenannte Session-Cookies, die es dem legitimen Kontoinhaber ermöglichen, sich während einer Browser-Sitzung automatisch bei den Diensten einer Website anzumelden. Da diese Cookies jedem erlauben, sich in das Konto des Besitzers einzuloggen, haben sie aus Sicherheitsgründen in der Regel eine begrenzte Lebensdauer, um Missbrauch zu verhindern, falls sie gestohlen werden. Sollte die Behauptung der Lumma-Entwickler also stimmen, könnten sich Nutzer der Malware Zugang zu jedem Google-Konto verschaffen, auch wenn der Kontoinhaber sich ausgeloggt hat oder die Sitzung bereits abgelaufen ist.
Aufmerksam auf das neue Werbeversprechen der Hacker wurde Alon Gal von Hudson Rock, als er in einem Forenbeitrag der Lumma-Entwickler von einem Update las, das am 14. November veröffentlicht wurde. Darin wurde erstmals darauf hingewiesen, dass Lumma nun die Möglichkeit bietet, „tote“ Cookies mit einem Schlüssel aus Wiederherstellungsdateien wiederherzustellen. Das würde allerdings nur bei Google-Konten funktionieren. Darüber hinaus müssen Interessenten das teuerste von Lumma angebotene Abo für 1000 US-Dollar abschließen, um die neuen Funktionen zu nutzen.
In dem Forenbeitrag wird auch klargestellt, dass jeder Schlüssel zweimal verwendet werden kann, sodass die Wiederherstellung von Cookies nur einmal funktioniert. Doch selbst das würde immer noch ausreichen, um katastrophale Angriffe auf Unternehmen zu starten, selbst wenn diese ansonsten hervorragende Sicherheitsvorkehrungen getroffen haben.
Noch ist allerdings unklar, ob das neue Feature auch so funktioniert, wie von den Lumma-Entwicklern beworben. Eine Überprüfung des Werbeversprechens durch unabhängige Sicherheitsforscher oder durch Google steht noch aus. Es ist jedoch erwähnenswert, dass ein anderer Stealer namens Rhadamanthys eine ähnliche Funktion in einem kürzlich veröffentlichten Update angekündigt hat, was die Wahrscheinlichkeit erhöht, dass Malware-Autoren eine ausnutzbare Sicherheitslücke entdeckt haben.
Bei Google scheint man daran zu arbeiten, die Sicherheitslücke zu schließen. Darauf lässt zumindest ein Post der Lumma-Entwickler schließen, in dem behauptet wird, dass ein neues Update verfügbar sei, mit dem sich neu eingeführte Beschränkungen von Google zur Wiederherstellung von Cookies umgehen ließen. Sollten sich diese Behauptungen bewahrheiten, gäbe es nicht viel, was Google-Nutzer tun könnten, um ihre Konten zu schützen – außer darauf zu warten, dass Google die Sicherheitslücke so schnell wie möglich schließt.
Bild (c) 422737 / Pixabay