Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Potenzielle Cookie-Ausnutzung durch LummaC2-Update

- Warnmeldung

Die Entwickler der Malware LummaC2 veröffentlichten kürzlich die Version 4.0 der Schad-Software mit neuen Features. Diese Features ermöglichen dem Programm angeblich unter anderem Google Cookies wiederherzustellen. Angreifende erhielten somit auch nach dem Logout der Account-Inhaber vollen Zugriff auf deren Google Accounts. Mögliche Gegenmaßnahmen existieren bisher nicht.
Viele Bildschirme mit gelben und roten Lichtern, verbunden mit Kabeln

© Adobe Stock

Mutmaßliche Gefahren für Google Accounts durch LummaC2 v4.0

Die Version 4.0 der Malware LummaC2 weist einige neue Features auf, darunter die Umgehung von Google-Beschränkungen und Möglichkeiten zur Google-Cookie-Wiederherstellung.

Laut den Entwicklern könne die Malware bereits abgelaufene Cookies von Google wiederherstellen. Mit den ausgelesenen Inhalten der Cookies wie Account-Namen und Passwörtern könnten Dritte auf die entsprechenden Accounts zugreifen. Daher böten diese Session-Cookies Angreifern auch nach dem Logout der Account-Inhaber uneingeschränkten Zugriff auf deren Google-Accounts.

Diese Angaben sind jedoch nicht verifiziert und Google bezog dazu bisher keine Stellung.

Bewertung der angeblichen LummaC2-Features

Das Update von LummaC2 auf Version 4.0 ist sehr kritisch zu sehen, vor allem, wenn sich die Behauptungen der Malware-Entwickler bewahrheiten. Die Funktion, abgelaufene Google-Session-Cookies wiederherzustellen, ist mächtig und vergrößert das Angriffspotenzial auf Organisationen und Privatpersonen
enorm, selbst bei konsequentem Ausloggen.

Die Wahrscheinlichkeit von tatsächlichen Cookie-Ausnutzungen wird zudem dadurch erhöht, dass schon ein weiteres kleines Update zur Schad-Software veröffentlicht wurde. Mit diesem kann LummaC2 angeblich zusätzliche Beschränkungen von Google umgehen. Deshalb ist akut mit Ausnutzungen durch die Malware oder Nachahmer-Software zu rechnen.

Empfehlungen

Gegen die Wiederherstellung von Google-Session-Cookies durch LummaC2 existieren momentan keine spezifischen Schutzmaßnahmen. Darüber hinaus gelten jedoch die allgemeinen Best Practices gegen Malware-Infektionen:

  • Keine ausführbaren Dateien aus zweifelhafter Quelle herunterladen.
  • Keine ausführbaren Dateien aus zweifelhafter Quelle ausführen.
  • Achten Sie verstärkt auf dubiose Aktivitäten in Ihren Google-Accounts, auch, wenn Sie sich regelmäßig ausloggen.

Hintergrund zu LummaC2

Die Malware LummaC2, auch Lumma Stealer, ist seit Ende 2022 bekannt. Sie wird als Malware-as-a-Service (MaaS) Cyberkriminellen als Dienstleistung angeboten. Mit LummaC2 können Angreifende Opfersysteme infizieren und Informationen wie Zugangsdaten extrahieren.

Weitere Informationen