Il temibile malware LummaC2, nel corso degli ultimi giorni, si sta dimostrando uno degli agenti malevoli più camaleontici in circolazione.
Dopo l’introduzione di una funzionalità anti-sandbox, infatti, l’infostealer ha mostrato altri preoccupanti comportamenti, che sembrano capaci di ripristinare i cookie di Google scaduti, al fine di rubare account agli utenti.
A fare l’inquietante scoperta è stato il ricercatore Alon Gal di Hudson Rock che, durante una ricerca sui forum dei cybercriminali, ha individuato una descrizione relativa a un aggiornamento di LummaC2. Il post in questione, risalente allo scorso 14 novembre, riportava tra i vari upgrade anche uno capace di ripristinare i cookie scaduti di Google attraverso una chiave individuata nei file di ripristino.
La funzione, però, sarebbe disponibile solo per i cybercriminali più esperti. Sfruttando LummaC2 il modello Malware-as-a-Service (MaaS), infatti, questo “optional” viene offerto solo alle sottoscrizioni Corporate. Tale abbonamento presenta un costo di 1.000 dollari mensili.
Cookie scaduti di Google “resuscitati”: un rischio potenzialmente devastante
I cookie di sessione sono utilizzati per accedere in modo automatico ai siti Web. Questi, risultano molto sensibili lato sicurezza: averli a disposizione permette infatti a chiunque di accedere all’account di riferimento.
Proprio per questo motivo, in genere, questi presentano una vera e propria scadenza a breve termine. Come già affermato, però, i cybercriminali sembrano aver trovato il modo per “resuscitarli”, con conseguenze potenzialmente disastrose.
Non solo: come specificato dai cybercriminali, i cookie di sessione che trattano sono quelli degli account Google. Ciò significa che, di fatto, chi sfrutta LummaC2 potrebbe accedere a qualunque servizio di Google utilizzato dalla vittima.
A tal proposito, però, si attende il riscontro da parte di Google. Al momento, di fatto, non è ancora dato sapere se tale funzione sia solo utilizzata per attirare abbonati Corporate o risulti effettivamente funzionante.