Neuartige Malware-Varianten haben die Fähigkeit entwickelt, Zugang zu Google-Konten zu erlangen, indem sie verschlüsselte Login-Cookies manipulieren. Diese Art von Malware, bekannt als „Infostealer“, ist in der Lage, diese Cookies neu zu generieren und zu entschlüsseln.

Das stellt eine signifikante Bedrohung für Nutzer dar, da Angreifer selbst nach einer Passwortänderung den Zugriff auf betroffene Konten behalten können, wie Heise berichtet.

Erstmals trat diese Malware-Variante im Oktober des vergangenen Jahres auf, so die Sicherheitsexperten von CloudSEK. Seitdem hat sich die Methode als beliebtes Feature unter verschiedenen Schadsoftwareanbietern etabliert. Sie wurde kontinuierlich verfeinert und aktualisiert, um Googles Maßnahmen zur Malware-Erkennung zu umgehen.

Die Schadsoftware nutzt eine bisher undokumentierte Google-API aus, um sich Zugang zu Nutzerkonten zu verschaffen. Die Schnittstelle wurde ursprünglich dafür konzipiert, Konten über verschiedene Geräte hinweg zu synchronisieren.

Wenn die Malware zuschlägt, erhält sie Zugriff auf alle Konten, in denen Nutzer zum Zeitpunkt der Attacke eingeloggt sind. Derzeit ist unklar, wann Google diese Sicherheitslücke schließen wird.

Da die Schwachstelle jedoch bereits Bestandteil mehrerer Schadsoftwareprogramme und in der Cyberkriminalitätsszene bekannt ist, liegt die Vermutung nahe, dass Google über das Problem informiert ist.

Google hat sich zu dem Angriff mit dem folgenden Statement per E-Mail zu Wort gemeldet:

„Google ist sich der jüngsten Berichte über eine Malware-Familie bewusst, die Sitzungstoken stiehlt. Angriffe mit Malware, die Cookies und Token stehlen, sind nichts Neues; wir verbessern regelmäßig unsere Abwehrmaßnahmen gegen solche Techniken und sichern Benutzer, die Opfer von Malware werden. In diesem Fall hat Google Maßnahmen ergriffen, um alle erkannten kompromittierten Konten zu sichern.

Es ist jedoch wichtig, ein Missverständnis in den Berichten zu beachten, das darauf hindeutet, dass gestohlene Token und Cookies nicht vom Benutzer widerrufen werden können. Dies ist nicht korrekt, da gestohlene Sitzungen einfach durch Abmelden vom betroffenen Browser oder durch Fernwiderruf über die Geräteseite des Benutzers ungültig gemacht werden können. Wir werden die Situation weiterhin beobachten und bei Bedarf Updates bereitstellen.

In der Zwischenzeit sollten Benutzer kontinuierlich Schritte unternehmen, um jegliche Malware von ihrem Computer zu entfernen, und wir empfehlen, das Erweiterte Sichere Surfen in Chrome zu aktivieren, um sich vor Phishing und Malware-Downloads zu schützen.“

Hacker haben es zunehmend auf eine spezifische Zielgruppe abgesehen: Gamer. Besonders Spieler beliebter Titel wie Minecraft, Roblox und Counter-Strike laufen Gefahr, sich unwissentlich Viren herunterzuladen.

Ein Bericht aus dem letzten Jahr zeigt, dass sich fast 200.000 Gamer durch Videospiele Viren eingefangen haben. Die Malware tarnt sich häufig in Form von Mods oder Erweiterungen für Spiele oder verbreitet sich über gefälschte Websites, die vorgeben, Spiele anzubieten, aber stattdessen Viren auf den PC der Nutzer laden.

Gamer sollten bei allen Downloads wachsam sein und sicherstellen, dass sie Dateien ausschließlich von vertrauenswürdigen Quellen herunterladen.