البرامج الضارة الجديدة قادرة على سرقة معلوماتك عن طريق إساءة استخدام نقطة نهاية Google OAuth غير الموثقة تسمى “MultiLogin” لاستعادة ملفات تعريف الارتباط للمصادقة منتهية الصلاحية وتسجيل الدخول إلى حسابات جوجل، حتى إذا تمت إعادة تعيين كلمة مرور الحساب.
يُعتقد أن المتسللين يقفون وراء برامج ضارة جديدة تسمح لك بتجاوز أمان حساب جوجل باستخدام ملفات تعريف الارتباط. يمكن لهذه البرامج الضارة الوصول إلى حسابك حتى إذا قمت بتغيير كلمة المرور الخاصة بك أو تمكين المصادقة الثنائية.
وفقًا لتقرير صادر عن BleepingComputer وتحليل تفصيلي أجرته CloudSEK وHudson Rock، تستغل هذه البرامج الضارة ثغرة أمنية متعلقة بملفات تعريف الارتباط في جوجل كروم. تصيب البرامج الضارة جهاز الكمبيوتر أولاً ثم تقوم بسرقة وفك تشفير رموز تسجيل الدخول المخزنة في قاعدة بيانات كروم المحلية. يستخدم كروم هذه الرموز المميزة لمزامنة حسابك بين خدمات جوجل المختلفة.
تستخدم هذه البرامج الضارة ملفات تعريف الارتباط لسرقة حسابك
تستخدم البرامج الضارة بعد ذلك هذه الرموز المميزة لإرسال طلب إلى Google API وإنشاء ملفات تعريف ارتباط دائمة ومستقرة لـ جوجل يمكنها مصادقة حسابك. يمكن للمهاجمين استخدام ملفات تعريف الارتباط هذه للوصول إلى حسابك من أي جهاز أو متصفح، دون الحاجة إلى كلمة المرور أو رمز التحقق.
الجزء الأكثر إثارة للقلق في هذا الهجوم هو أنه يمكن إعادة ترخيص ملفات تعريف الارتباط باستخدام مفتاح من ملفات الاسترداد التي تنشئها البرامج الضارة على سطح المكتب. وهذا يعني أن ملفات تعريف الارتباط قد تظل صالحة حتى بعد تغيير كلمة المرور الخاصة بك. بالإضافة إلى ذلك، يمكن للمهاجمين تكرار هذه العملية عدة مرات إذا لم تكن على علم بالإصابة.
ومن المعروف أن هذه الثغرة الأمنية قد تم استغلالها من قبل ما لا يقل عن ست مجموعات من البرامج الضارة، والتي تبيعها على شبكة الإنترنت المظلمة. وبحسب ما ورد تم اكتشافه لأول مرة في منتصف نوفمبر، تزعم بعض المجموعات أنها قامت بتحديثها للتهرب من الإجراءات المضادة التي اتخذتها جوجل.
ينصح خبراء الأمن المستخدمين بفحص سطح المكتب بانتظام باستخدام برامج مكافحة الفيروسات المعروفة وحذف أي ملفات مشبوهة. يمكنك أيضًا التحقق من نشاط حسابك في جوجل وتسجيل الخروج من أي أجهزة أو متصفحات لا تعرفها.
