Estudo explica como cibercriminosos exploram cookies de sessão para acessar dados corporativos

Views: 395
0 0
Read Time:3 Minute, 24 Second

Relatório revela que invasores podem se passar por usuários legítimos e se mover livremente pela rede

A Sophos anunciou em relatório do Sophos X-Ops, intitulado “Cookie stealing: the new perimeter bypass“, que invasores estão explorando cada vez mais os cookies de sessão – cookies temporários utilizados para lembrar de credenciais durante visitas à web, que perdem a validade quando o navegador é fechado – para burlar medidas de proteção, como a autenticação multi-fator (MFA), e ter acesso aos dados das empresas. 

Em alguns casos, o próprio roubo de cookies é altamente direcionado, no qual cibercriminosos capturam dados de sistemas vulneráveis em uma rede e usam acessos legítimos para disfarçar a atividade maliciosa. Uma vez que os invasores conseguem acesso a recursos corporativos armazenados na web e na nuvem por meio dos cookies, eles podem usá-los para uma exploração mais profunda, como o BEC (Business Email Compromise ou o golpe conhecido como ‘Fraude do CEO’), criar emails fraudulentos e perfis falsos para obter acesso adicional ao sistema e até mesmo modificar dos repositórios de dados ou do código fonte.

“No ano passado, vimos os ataques se voltarem cada vez mais para o roubo de cookies, por conta da  crescente adoção da MFA. Os invasores estão recorrendo a versões novas e aperfeiçoadas de roubo de dados, como o ‘Raccoon Stealer’ para simplificar o processo de obtenção de cookies de autenticação – também conhecidos como tokens de acesso”, explica Sean Gallagher, principal pesquisador de ameaças da Sophos. “Se os cibercriminosos conseguirem acesso aos cookies de sessão, eles podem se mover livremente por uma rede, fazendo-se passar por usuários legítimos”.

Os cookies de sessão ou autenticação são um tipo particular de cookie armazenado por um navegador quando um usuário faz login em um site e/ou acessa recursos da web. Ao realizar uma MFA, é gerado e armazenado um token neste navegador, como uma camada adicional de autenticação para maior segurança das informações. O problema é que muitas aplicações legítimas têm cookies de longa duração, que raramente ou nunca expiram, e outras realmente só vencem se o usuário se desconectar do serviço. Nesses casos, se os invasores obtiverem sucesso, eles podem conduzir um ataque “pass-the-cookie“, pelo qual podem inserir o token de acesso em uma nova sessão da web, “enganando” o navegador para parecer que são usuários válidos e anular a necessidade de uma nova autenticação.

Graças à indústria de malware-as-a-service, cibercriminosos de nível básico têm encontrado mais facilidade para se envolverem no roubo desses acessos. Nesse contexto, por exemplo, , tudo o que eles precisam fazer é comprar uma cópia de um trojan que rouba informações, como o Raccoon Stealer, para coletar dados, como senhas e cookies em massa, e depois vendê-los em mercados ilegais, incluindo o Genesis. Outros criminosos, como os operadores de ransomware, podem comprar esses dados para filtrar informações que possam ser úteis para seus ataques.

Por outro lado, em dois dos incidentes recentes investigados pela Sophos, os cibercriminosos adotaram uma abordagem mais direcionada. Em um caso, os invasores passaram meses dentro de uma rede-alvo coletando cookies do navegador Microsoft Edge. O acesso inicial ocorreu por meio  de um kit de exploração e, então, utilizaram uma combinação de Cobalt Strike e Meterpreter para se aproveitar de uma ferramenta de compilação legítima a fim de capturar tokens de acesso. Em outro caso, os criminosos usaram um componente legítimo do Microsoft Visual Studio para liberar um carregamento malicioso que rouba arquivos de cookies durante uma semana.

“Embora historicamente tenhamos visto roubos de cookies em massa, os invasores estão adotando uma abordagem precisa e direcionada para essa finalidade. Como grande parte do ambiente de trabalho hoje é  online, realmente não há fim para as possibilidades de atividades maliciosas que cibercriminosos podem realizar com cookies de sessão roubados. Eles podem adulterar a infraestrutura da nuvem, comprometer o e-mail comercial, convencer outros funcionários a baixar malware ou até mesmo reescrever códigos para produtos. A única limitação será a própria criatividade”, diz Gallagher. 

FONTE: SECURITY REPORT

POSTS RELACIONADOS