मैलवेयर उपयोगकर्ताओं से जानकारी चुराने और उन्हें हाईजैक करने के लिए डिज़ाइन किया गया है गूगल सुरक्षा शोधकर्ताओं के अनुसार, कई दुर्भावनापूर्ण समूहों द्वारा खातों का शोषण किया जा रहा है – पासवर्ड रीसेट होने के बाद भी। कथित तौर पर शोषण का लक्ष्य रखा गया है खिड़कियाँ कंप्यूटर. एक बार जब डिवाइस संक्रमित हो जाता है, तो यह लॉगिन सत्र टोकन को बाहर निकालने के लिए “जानकारी चुराने वालों” द्वारा उपयोग की जाने वाली तकनीक का उपयोग करता है – जो उपयोगकर्ता के कंप्यूटर को उनके खाते में लॉग इन करने पर सौंपा जाता है – और इसे साइबर क्रिमिनल के सर्वर पर अपलोड करता है।
एक के अनुसार प्रतिवेदन CloudSEK के शोधकर्ताओं द्वारा प्रकाशित, मैलवेयर पहली बार अक्टूबर 2023 में खतरे वाले समूह PRISMA द्वारा लॉन्च किया गया था, और मल्टीलॉगिन नामक खोज दिग्गज के OAuth एंडपॉइंट का उपयोग करता है जिसका उपयोग Google द्वारा उपयोगकर्ताओं को एक ही ब्राउज़र पर उपयोगकर्ता प्रोफ़ाइल के बीच स्विच करने या कई लॉगिन सत्रों का उपयोग करने की अनुमति देने के लिए किया जाता है। इसके साथ ही। मैलवेयर उपयोगकर्ता के कंप्यूटर पर लॉग इन किए गए Google खातों से ऑथ-लॉगिन टोकन का उपयोग करता है। रिपोर्ट के अनुसार, विंडोज़ में यूजरडेटा फ़ोल्डर से चुराई गई कुंजी की मदद से आवश्यक विवरण डिक्रिप्ट किए जाते हैं।
चुराए गए लॉगिन सत्र टोकन का उपयोग करके, दुर्भावनापूर्ण उपयोगकर्ता उपयोगकर्ता के खाते में लॉग इन करने के लिए एक प्रमाणीकरण कुकी को समाप्त होने के बाद भी पुन: उत्पन्न कर सकते हैं – इसे एक बार भी रीसेट किया जा सकता है, जब कोई उपयोगकर्ता अपना पासवर्ड बदलता है। परिणामस्वरूप, मैलवेयर ऑपरेटर उपयोगकर्ता के खाते तक पहुंच बनाए रख सकते हैं। खतरा खुफिया समूह हडसन रॉक ने शोषण की जा रही खामी का एक प्रदर्शन प्रदान किया है।
इस बीच, BleepingComputer बताता है विभिन्न मैलवेयर रचनाकारों ने पहले से ही उपयोगकर्ता डेटा तक पहुंच प्राप्त करने के लिए शोषण का उपयोग करना शुरू कर दिया है – 14 नवंबर को, लुम्मा चोरी करने वाले को दोष का लाभ उठाने के लिए अपडेट किया गया था, इसके बाद रदामंथिस (17 नवंबर), स्टेलक (1 दिसंबर), मेडुसा ( 11 दिसंबर), राइजप्रो (12 दिसंबर), और व्हाइटस्नेक (26 दिसंबर)।
में एक कथन 9to5Google को, खोज दिग्गज ने कहा कि उसने नियमित रूप से मैलवेयर द्वारा उपयोग की जाने वाली तकनीकों के खिलाफ अपनी सुरक्षा को उन्नत किया है, और कंपनी द्वारा पता लगाए गए समझौता किए गए खातों को सुरक्षित कर लिया गया है।
Google यह भी बताता है कि उपयोगकर्ता मैलवेयर से संक्रमित डिवाइस पर ब्राउज़र से लॉग आउट करके, या उनके द्वारा एक्सेस करके चुराए गए सत्र टोकन को रद्द या अमान्य कर सकते हैं उपकरण पृष्ठ उनकी खाता सेटिंग में और उन सत्रों से दूरस्थ रूप से साइन आउट करें। कंपनी के अनुसार, उपयोगकर्ता मैलवेयर के लिए अपने कंप्यूटर को स्कैन भी कर सकते हैं और अपने कंप्यूटर पर मैलवेयर डाउनलोड करने से बचने के लिए Google Chrome में उन्नत सुरक्षित ब्राउज़िंग सेटिंग सक्षम कर सकते हैं।
