Ändern des Passworts reicht nicht! Lumma Stealer Malware übernimmt Google-Konten

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

sysob IT-Distribution GmbH & Co. KG

FTAPI Software GmbH

Cyberkriminelle können mit der Malware Lumma Stealer Google-Konten übernehmen. Dabei hilft auch das Ändern des Passworts nicht, denn die Malware greift auf Daten im Webbrowser und auf eine undokumentierte Google-API zu.

Derzeit gibt es eine Schwachstelle in Google-Diensten, durch die es der Malware „Lumma Stealer“ möglich wird, komplette Google-Konten zu übernehmen. Dabei hilft es auch nicht, das Passwort zu ändern, denn die Malware hat auch dann weiterhin Zugriff auf das Google-Konto.

Lumma Stealer gehört zu den Schädlingen, die vor allem auf das Sammeln von Informationen ausgerichtet sind und daher sehr aggressiv vorgehen. Die Malware sammelt Daten von Webbrowsern und liest Cookies und Nutzerdaten aus. Die Malware kann auf unterschiedlichen Systemen die Cookies, in denen Anmeldedaten gespeichert sind, ausnutzen und übernehmen. Im Internet finden sich Videos von Ende Dezember 2023, die zeigen, wie Hacker vorgehen und erfolgreich Accounts übernehmen. Lumma Stealer ist in andere Schadsoftware eingebettet und befällt vor allem Chrome und Edge sowie andere Browser, die auf Chromium setzen.

So greift Lumma Stealer PCs mit Chrome und Edge an

Derzeit übernehmen andere Malware-Entwickler die Funktionen von Lumma Stealer, zum Beispiel Rhadamanthys, Risepro, Meduza und Stealc Stealer. Auch andere Hackergruppen arbeiten an der dieser Technik. Insbesondere Google Chrome und Microsoft Edge können mit diesen Angriffen kompromittiert werden. Dabei attackiert die Malware die token_service-Tabelle, um Informationen aus den gespeicherten Chrome-Profilen auszulesen. Die Malware greift dabei auf den Local State von Chrome zu, der im Verzeichnis UserData-Verzeichnis gespeichert ist. Lumma verwendet die Spalte „GAIA ID“ der Tabelle, um eigene Cookies zu erstellen. Dabei schützt sich die Malware selbst, indem sie ihre eigenen Daten verschlüsselt und sich so vor dem Zugriff durch Sicherheitssoftware verbirgt.

Lumma Stealer erstellt eigene Cookies zum Einloggen in Google-Konten

Lumma Stealer ist in der Lage, über eine undokumentierte Google-API für OAuth2 eigene Cookies zu erstellen, die dem Angreifer Zugriff auf alle Google-Konten gewährt, die Benutzer eines PCs verwenden. Dazu wird der Endpunkt namens "MultiLogin“ verwendet. Das Ändern des Kontopassworts verhindert diese Art des Angriffs nicht.

Die Malware nutzt genau die Google-API, die dafür zuständig ist, Anmeldungen über verschiedene Geräte hinweg aktuell zu halten. Über die API greift die Malware gültige Zugangsdaten ab und vergleicht diese mit den Daten auf dem dem kompromittierten PC. Taucht diese Malware auf einem PC auf, sollten auf diesem keine Passwortänderungen oder andere Aktionen durchgeführt werden.

So schützen sich Nutzer vor Lumma Stealer

Haben Nutzer den Verdacht, dass sich auf einem ihrer Geräte Lumma Stealer oder eine andere Schadsoftware, die diese Technik nutzt, installiert hat, sollte eine sofortige Abmeldung von allen Google-Profilen auf allen Endgeräten des Nutzers erfolgen. Dadurch werden die Cookies zunächst ungültig. Erkennt der Virenscanner die Malware, sollte diese sofort entfernt werden. Ist eine Bereinigung nicht möglich, hilft nur eine Neuinstallation des betroffenen Systems und eine anschließende Änderung des Passworts.

(ID:49864104)