يتم استغلال البرامج الضارة المصممة لسرقة المعلومات من المستخدمين واختراق حساباتهم على Google من قبل مجموعات ضارة متعددة – حتى بعد إعادة تعيين كلمة المرور – وفقًا للباحثين الأمنيين. يقال إن الاستغلال يستهدف أجهزة الكمبيوتر التي تعمل بنظام Windows. بمجرد إصابة الجهاز، فإنه يستخدم تقنية يستخدمها “سارقو المعلومات” لتصفية رمز جلسة تسجيل الدخول – المخصص لجهاز الكمبيوتر الخاص بالمستخدم عند تسجيل الدخول إلى حسابه – وتحميله إلى خادم المجرم الإلكتروني.
وفقًا لتقرير نشره باحثون في CloudSEK، تم إطلاق البرنامج الضار لأول مرة من قبل مجموعة التهديد PRISMA في أكتوبر 2023، ويستخدم نقطة نهاية OAuth الخاصة بعملاق البحث والتي تسمى MultiLogin والتي تستخدمها Google للسماح للمستخدمين بالتبديل بين ملفات تعريف المستخدمين على نفس المتصفح أو استخدام جلسات تسجيل دخول متعددة في وقت واحد. تستخدم البرامج الضارة رموز تسجيل الدخول المميزة من حسابات Google الخاصة بالمستخدم والتي تم تسجيل دخولها على جهاز الكمبيوتر. يتم فك تشفير التفاصيل الضرورية بمساعدة مفتاح مسروق من مجلد UserData في Windows، وفقًا للتقرير.
باستخدام الرموز المميزة لجلسة تسجيل الدخول المسروقة، يمكن للمستخدمين الضارين أيضًا إعادة إنشاء ملف تعريف ارتباط المصادقة لتسجيل الدخول إلى حساب المستخدم بعد انتهاء صلاحيته – بل يمكن إعادة تعيينه مرة واحدة، عندما يقوم المستخدم بتغيير كلمة المرور الخاصة به. ونتيجة لذلك، يمكن لمشغلي البرامج الضارة الاحتفاظ بإمكانية الوصول إلى حساب المستخدم. قدمت مجموعة استخبارات التهديدات Hudson Rock عرضًا توضيحيًا للخلل الذي يتم استغلاله.
وفي الوقت نفسه، يشير BleepingComputer إلى أن العديد من منشئي البرامج الضارة قد بدأوا بالفعل في استخدام الثغرة للوصول إلى بيانات المستخدم – في 14 نوفمبر، تم تحديث برنامج Lumma Stealer للاستفادة من الخلل، يليه برنامج Rhadamanthys (17 نوفمبر)، وStealc (ديسمبر) 1)، ميدوسا (11 ديسمبر)، رايزبرو (12 ديسمبر)، ووايتسنايك (26 ديسمبر).
وفي بيان لـ 9to5Google، قال عملاق البحث إنه قام بشكل روتيني بتحديث دفاعاته ضد التقنيات التي تستخدمها البرامج الضارة، وأنه تم تأمين الحسابات المخترقة التي اكتشفتها الشركة.
وتشير جوجل أيضًا إلى أنه يمكن للمستخدمين إلغاء أو إبطال الرموز المميزة للجلسة المسروقة إما عن طريق تسجيل الخروج من المتصفح على جهاز مصاب بالبرامج الضارة، أو عن طريق الوصول إلى صفحة أجهزتهم في إعدادات حساباتهم وتسجيل الخروج من تلك الجلسات عن بعد. ويمكن للمستخدمين أيضًا فحص أجهزة الكمبيوتر الخاصة بهم بحثًا عن البرامج الضارة وتمكين إعداد التصفح الآمن المحسن في Google Chrome لتجنب تنزيل البرامج الضارة على أجهزة الكمبيوتر الخاصة بهم، وفقًا للشركة.
