사이버 보안 전문가들이 정보 탈취 멀웨어에 의해 활발히 악용되고 있는 Google OAuth 내 멀티로그인이라는 심각한 익스플로잇을 발견했다. 이 익스플로잇을 통해 위협 행위자는 사용자 세션을 탈취해 사용자가 비밀번호를 재설정한 후에도 구글 서비스에 지속적으로 액세스할 수 있다.

이 멀웨어는 Lumma, Rhadamanthys, Stealc, Meduza, RisePro, WhiteSnake와 같은 다양한 서비스형 멀웨어(MaaS) 탈취기 제품군에 통합되어 있으며, 멀티로그인이라고 알려진 문서화되지 않은 Google OAuth 엔드포인트를 표적으로 삼는다. 이 엔드포인트는 여러 서비스, 특히 크롬 웹 브라우저 내에서 구글 계정을 동기화하기 위해 설계되었다.

보안 연구원들은 Lumma Stealer 코드를 리버스 엔지니어링한 결과, 이 멀웨어가 크롬 웹데이터의 토큰 서비스 테이블에서 크롬 프로필의 토큰과 계정 ID를 추출한다는 사실을 밝혀냈다.