មេរោគលួចព័ត៌មានកំពុងតែកេងចំណេញយ៉ាងសកម្មលើ Google OAuth endpoint ថ្មីឈ្មោះ MultiLogin ដើម្បីលួចយក Sessions អ្នកប្រើប្រាស់ និងបន្តដំណើរការចូលទៅកាន់សេវា Google បើទោះបីជាបន្ទាប់ពីមានការផ្លាស់ប្តូរលេខសម្ងាត់ (Password reset) យ៉ាងណាក្តី។
យោងតាមក្រុមហ៊ុន CloudSEK បានឱ្យដឹងថា ការកេងចំណេញដ៏សំខាន់នេះបានសម្របសម្រួល Session ជាប់លាប់ (Persistence) និង Cookie Generation ហើយអាចឱ្យហេគឃ័រថែទាំ (Maintain) ដំណើរការទៅកាន់ Valid Session ដោយគ្មានការអនុញ្ញាត (Unauthorized Manner)។ វិធីសាស្រ្តនៃការវាយប្រហារនេះត្រូវបានបង្ហាញដោយហេគឃ័រឈ្មោះ PRISMA កាលពីខែតុលា ឆ្នាំ២០២៣ នៅលើ Telegram Channel របស់ពួកគេ។ តាំងពីពេលនោះមក មេរោគនេះបានបញ្ចូលទៅក្នុងគ្រួសារមេរោគលួចព័ត៌មាន Malware-as-a-service (MaaS) ដូចជា Lumma, Rhadamanthys, Stealc, Meduza, RisePro និង WhiteSnake។
MultiLogin Authentication Endpoint ត្រូវបានបង្កើតឡើងសម្រាប់គណនី Synchronizing Google ឆ្លងសេវានៅពេលអ្នកប្រើប្រាស់បានថ្វើការ Sign in ចូលទៅកាន់គណនីរបស់ពួកគេនៅក្នុង Chrome web Browser (i.e., Profiles)។ បើយោងតាមអ្នកស្រាវជ្រាវសន្តិសុខ Pavan Karthick M បានថ្លែងថា Lumma Stealer Code បានបង្ហាញថាបច្ចេកទេសនេះមានគោលដៅលើ Chrome’s Taken Service Table of WebData ទាញយក Account IDs របស់ Chrome Profiles ដែលបានចូល (logged in)។ Table នេះមាន Columns សំខាន់ពីរគឺ សេវា (GAIA ID) និង Encrypted Token។ This Token: GAIA ID Pair បន្ទាប់មកត្រូវបានភ្ជាប់ជាមួយ MultiLogin Endpoint ដើម្បីបង្កើត (Regenerate) Google Authentication Cookies។
លោក Karthick បានរៀបរាប់ពីសេនារីយូបង្កើត Token-Cookies ផ្សេងគ្នាចំនួន៣ ដែលត្រូវបានធ្វើការសាកល្បង៖
– នៅពេលអ្នកប្រើប្រាស់បាន Logged In ជាមួយ Browser នៅក្នុងករណី Token អាចត្រូវបានប្រើជាច្រើនដងច្រើនសារ (Number of Times)
– នៅពេលអ្នកប្រើប្រាស់ប្តូរលេខសម្ងាត់ ប៉ុន្តែអនុញ្ញាតឱ្យ Google នៅតែអាច Signed in នៅក្នុងករណីដែល Token អាចត្រូវបានប្រើតែមួយដងនៅពេល Token ត្រូវបានប្រើរួចម្តងសម្រាប់អនុញ្ញាតឱ្យអ្នកប្រើអាច Signed in
– ប្រសិនបើអ្នកប្រើធ្វើការ Sign out ចេញពី Browser បន្ទាប់មក Token នឹងត្រូវបានដកហូត និងលុបចេញពី Browser’s Local Storage នឹងត្រូវបានបង្កើតឡើងវិញនៅពេលមានការចូល (Logging In) ម្តងទៀត។
នៅពេលស្នើសុំការបកស្រាយ ក្រុមហ៊ុន Google បានដឹងពីវិធីសាស្រ្តនៃការវាយប្រហារ ប៉ុន្តែបានកត់សម្គាល់ថា អ្នកប្រើអាចដកហូត Stolen Sessions ដោយការ Logging Out ចេញពី Browser ដែលរងគ្រោះ។ ក្រុមហ៊ុនបានបន្តថា ក្រុមហ៊ុន Google ដឹងពីរបាយការណ៍នាពេលថ្មីៗនេះទាក់ទងនឹងគ្រួសារមេរោគលួច Session Tokens។ ការវាយប្រហារពាក់ព័ន្ធនឹងមេរោគដែលលួច Cookies និង Token មិនមែនជារឿងថ្មីទេ។ ក្រុមហ៊ុនក៏បានធ្វើការ Upgrade ដើម្បីការពារដូចជាតិចនិក និងដើម្បីធនានូវសុវត្ថិភាពជូនអ្នកប្រើប្រាស់ដែលធ្លាក់ចូលជាជនរងគ្រោះរបស់មេរោគ។ ឧទាហរណ៍ ក្រុមហ៊ុន Google បានចាត់វិធានការសុវត្ថិភាពដើម្បីស្វែងរកគណនីរងគ្រោះណាដែលបានគ្រប់គ្រងជាដើម។
ក្រុមហ៊ុនបានបន្ថែមថា ទោះជាយ៉ាងណា វាសំខាន់ណាស់ក្នុងការកត់សម្គាល់នូវការយល់ខុសនៅក្នុងរបាយការណ៍ពីករណីលួច Token និង Cookies មិនអាចត្រូវបានដកហូតដោយអ្នកប្រើប្រាស់ទេ។ រឿងនេះវាមិនត្រឹមត្រូវទេ នៅពេល Stolen Sessions មិនមានសុពលភាពដោយការ Sign Out របស់ Browser ដែលរងគ្រោះ ឬដកហូតតាមរយៈ Devices Page របស់អ្នកប្រើប្រាស់។ ក្រុមហ៊ុននឹងបន្តតាមដានលើស្ថានភាពនេះ និងផ្តល់នូវការ Updates ប្រសិនបើចាំបាច់។
ក្រុមហ៊ុនបានណែនាំឱ្យអ្នកប្រើប្រាស់ធ្វើការបើក (Turn On) នូវមុខងារ Enhanced Safe Browsing នៅក្នុង Chrome ដើម្បីការពារ ការឆបោកបែប Phishing និងការដោនឡូតមេរោគ Malware។ អ្នកស្រាវជ្រាវបានថ្លែងថា ខ្លួនបានផ្តល់យោបល់ឱ្យប្តូរលេខសម្ងាត់ ដូច្នេះហេគឃ័រមិនអាចប្រើ Password Reset ដើម្បីរក្សាលេខសម្ងាត់ (Restore Passwords) បានទេ។ អ្នកប្រើប្រាស់ក៏គួរតែតាមដានសកម្មភាពគណនីរបស់ពួកគេចំពោះ Sessions ណាដែលគួរឱ្យសង្ស័យចេញពី IPs និងទីតាំងដែលពួកគេមិនស្គាល់ជាដើម។ ប្រធានផ្នែកបច្ចេកវិទ្យា Hudson Rock បានថ្លែងថា ការបញ្ជាក់ពីក្រុមហ៊ុន Google គឺជារឿងដ៏សំខាន់របស់សុវត្ថិភាពអ្នកប្រើប្រាស់។ ទោះបីយ៉ាងណា ឧប្បត្តិហេតុនេះបង្ហាញឱ្យឃើញពីការកេងចំណេញដ៏ស្មុគស្មាញ ដែលអាចមានក្នុងការប្រើវិធីសាស្រ្តបុរាណដើម្បីសុវត្ថិភាពគណនី។ ខណៈពេលដែលវិធានការរបស់ក្រុមហ៊ុន Google មានតម្លៃ ស្ថានភាពនេះបានបង្ហាញពីតម្រូវការនូវដំណោះស្រាយសុវត្ថិភាពថែមទៀត ដើម្បីប្រឆាំងនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលកំពុងតែវិវត្ត ដូចជាករណីលួចព័ត៌មានកំពុងតែពេញនិយមពីសំណាក់ក្រុមហេគឃ័រនាពេលបច្ចុប្បន្ន៕
https://thehackernews.com/2024/01/malware-using-google-multilogin-exploit.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៣ ខែមករា ឆ្នាំ២០២៤
