Eine neue entdeckt schädliche Software (Malware) umgeht den Passwortschutz von Google-Konten durch unbemerkte Übernahme von Google-Cookies – Passwortwechsel bleibt ohne Effekt.
Der Lumma-Trojaner greift auf Browser-Daten und eine unbekannte Google-Funktion zu, um sich fortwährenden Zugang zu Nutzerkonten zu verschaffen.
Lumma Trojaner wendet neuen Trick an
Wird ein Computer von Schadsoftware befallen, gilt es als eine der ersten Maßnahmen, sämtliche Passwörter neu zu setzen. Doch es zeigt sich, dass diese Aktion nicht immer geeignet ist, um Online-Konten vor unbefugtem Zugriff zu schützen. Aktuelle Versionen unterschiedlicher Malware-Typen haben die Fähigkeit entwickelt, die verschlüsselten Authentifizierungszusätze für Google-Konten wiederherzustellen, sogar nachdem Nutzer ihr Passwort geändert haben könnten.
Schon im letzten Herbst starteten mehrere Gruppen aus dem cyberkriminellen Milieu den Verkauf einer innovativen Funktion ihrer Diebstahl-orientierten Schadprogramme. Nach der Einrichtung sammeln diese Programme gezielt sensible Informationen wie Anmeldedaten und Authentifizierungszusätze. Einige Entwickler solcher Schadsoftware preisen nun eine Fähigkeit an, die die Authentifizierungszusätze aktualisieren kann, was Änderungen am Passwort nutzlos macht.
Malware nutzt Schwachstelle in Google API
Eine Untersuchung von IT-Sicherheitsexperten bestätigt, dass diese Fähigkeit keine Finte ist. Mithilfe einer nicht öffentlich dokumentierten Schnittstelle von Google, die ursprünglich für die Synchronisation von Konteninformationen über verschiedene Endgeräte hinweg vorgesehen ist, kann die Malware gültige Cookies für entwendete Konten generieren.
Die Schadsoftware lädt verschlüsselte Zugangstokens durch das API herunter und entschlüsselt sie, wobei sie die im Browser des Opfers entwendeten Schlüssel verwendet.
Passwortwechsel bieten keinen Schutz
Da die Authentifizierungstokens nicht an das Google-Passwort des Nutzers geknüpft sind, bleibt auch ein Passwortwechsel ohne Auswirkung und Täter erlangen weiterhin Zugang zu allen Google-Konten des Opfers, die während der Infektion aktiv waren.
Es ist bisher nicht bekannt, ob und wann Google diese Schwachstelle beheben wird, ebenso unklar ist, ob Nutzer effektive Schutzmaßnahmen ergreifen könnten. Angesichts der Tatsache, dass nun mehrere Schadsoftware-Varianten diesen Exploit nutzen, dürfte bei den Entwicklern von Google Alarmstimmung herrschen.
Probleme mit der Implementierung von OAuth oder das Abfangen von OAuth-Tokens haben bereits in der Vergangenheit zu Sicherheitsproblemen geführt, wie bei einem schwerwiegenden Angriff auf Github im Jahr 2022 deutlich wurde.
Selbst der Wechsel eines Passwortes macht keinen Unterschied
Das müssen Google-Nutzer jetzt tun
Es ist wichtiger denn je, darauf zu achten, sich keine Malware einzufangen. Also: Keine bedenklichen oder unsicheren Webseiten aufrufen, am besten Antiviren-Software benutzen und bei Bedenken mal den Rechner scannen. Sofern Malware entdeckt wurde, diese entfernen und anschließend die Passwörter aller Google-Konten erneuern.
Ganz besonders wichtig: Multifaktor-Authentifizierung verwenden. Wer seine Online-Konten durch einen zweiten Code oder einen Hardware-Key absichert – was Google schon lange anbietet und auch empfiehlt -, kann seine Online-Konten deutlich besser schützen.