Zum Einsatz kommen dabei sogenannte Session-Cookies, die es dem legitimen Kontoinhaber ermöglichen, sich während einer Browser-Sitzung automatisch bei den Diensten einer Website anzumelden. Da diese Cookies jedem erlauben, sich in das Konto des Besitzers einzuloggen, haben sie aus Sicherheitsgründen in der Regel eine begrenzte Lebensdauer, um Missbrauch zu verhindern, falls sie gestohlen werden. Sollte die Behauptung der Lumma-Entwickler also stimmen, könnten sich Nutzer der Malware Zugang zu jedem Google-Konto verschaffen, auch wenn der Kontoinhaber sich ausgeloggt hat oder die Sitzung bereits abgelaufen ist.
Aufmerksam auf das neue Werbeversprechen der Hacker wurde Alon Gal von Hudson Rock, als er in einem Forenbeitrag der Lumma-Entwickler von einem Update las, das am 14. November veröffentlicht wurde. Darin wurde erstmals darauf hingewiesen, dass Lumma nun die Möglichkeit bietet, „tote“ Cookies mit einem Schlüssel aus Wiederherstellungsdateien wiederherzustellen. Das würde allerdings nur bei Google-Konten funktionieren. Darüber hinaus müssen Interessenten das teuerste von Lumma angebotene Abo für 1000 US-Dollar abschließen, um die neuen Funktionen zu nutzen.
In dem Forenbeitrag wird auch klargestellt, dass jeder Schlüssel zweimal verwendet werden kann, sodass die Wiederherstellung von Cookies nur einmal funktioniert. Doch selbst das würde immer noch ausreichen, um katastrophale Angriffe auf Unternehmen zu starten, selbst wenn diese ansonsten hervorragende Sicherheitsvorkehrungen getroffen haben.
Noch ist allerdings unklar, ob das neue Feature auch so funktioniert, wie von den Lumma-Entwicklern beworben. Eine Überprüfung des Werbeversprechens durch unabhängige Sicherheitsforscher oder durch Google steht noch aus. Es ist jedoch erwähnenswert, dass ein anderer Stealer namens Rhadamanthys eine ähnliche Funktion in einem kürzlich veröffentlichten Update angekündigt hat, was die Wahrscheinlichkeit erhöht, dass Malware-Autoren eine ausnutzbare Sicherheitslücke entdeckt haben.
Bei Google scheint man daran zu arbeiten, die Sicherheitslücke zu schließen. Darauf lässt zumindest ein Post der Lumma-Entwickler schließen, in dem behauptet wird, dass ein neues Update verfügbar sei, mit dem sich neu eingeführte Beschränkungen von Google zur Wiederherstellung von Cookies umgehen ließen. Sollten sich diese Behauptungen bewahrheiten, gäbe es nicht viel, was Google-Nutzer tun könnten, um ihre Konten zu schützen – außer darauf zu warten, dass Google die Sicherheitslücke so schnell wie möglich schließt.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de