Cómo el Exploit de MultiLogin de Google Compromete las Cuentas a pesar de Cambios de Contraseña

Uno de los métodos más recientes descubiertos involucra el uso de un exploit en el sistema de autenticación MultiLogin de Google. Este método permite a los malwares mantener el acceso a las cuentas de Google de los usuarios incluso después de que se haya restablecido la contraseña.

¿Qué es MultiLogin de Google?

MultiLogin es un punto de autenticación diseñado por Google, utilizado principalmente para sincronizar cuentas de Google a través de varios servicios cuando un usuario inicia sesión en su cuenta en el navegador web Chrome. Este sistema juega un papel crucial en la gestión de sesiones y cookies de autenticación.

El Mecanismo de Explotación

Los malwares de robo de información están aprovechando un punto de autenticación no documentado de Google, conocido como MultiLogin, para secuestrar sesiones de usuario y permitir el acceso continuo a los servicios de Google incluso después de un restablecimiento de contraseña.

Técnica de Persistencia de Sesión

Un actor de amenazas, conocido como PRISMA, reveló esta técnica en su canal de Telegram el 20 de octubre de 2023. Desde entonces, ha sido incorporada en varias familias de malware-como-servicio (MaaS), incluyendo Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake.

Ingeniería Inversa del Lumma Stealer

La ingeniería inversa del código de Lumma Stealer reveló que la técnica se enfoca en la "tabla token_service de Chrome WebData para extraer tokens e IDs de cuentas de perfiles de Chrome", según el investigador de seguridad Pavan Karthick M. Estos tokens se combinan luego con el punto de MultiLogin para regenerar cookies de autenticación de Google.

Respuesta y Medidas de Seguridad

Cuando se contactó a Google para comentar sobre el método de ataque, la compañía reconoció su existencia, pero señaló que los usuarios pueden revocar las sesiones robadas cerrando sesión en el navegador afectado.

Recomendaciones de Google

Google ha recomendado a los usuarios activar la Navegación Segura Mejorada en Chrome para protegerse contra el phishing y la descarga de malwares. Además, se aconseja cambiar las contraseñas y monitorear la actividad de la cuenta para detectar sesiones sospechosas.


Preguntas Frecuentes (FAQs)

  1. ¿Qué es el exploit de MultiLogin de Google? El exploit de MultiLogin de Google es una técnica utilizada por malwares para mantener el acceso a las cuentas de Google incluso después del cambio de contraseña, explotando un punto de autenticación no documentado.
  2. ¿Cómo puedo proteger mi cuenta de Google de este exploit? Se recomienda activar la Navegación Segura Mejorada en Chrome, cambiar regularmente las contraseñas y monitorear la actividad de la cuenta para detectar sesiones sospechosas.
  3. ¿Pueden los usuarios revocar las sesiones robadas? Sí, los usuarios pueden invalidar las sesiones robadas cerrando sesión en el navegador afectado o revocándolas de forma remota a través de la página de dispositivos del usuario.