0
0
Os adversários ativos estão explorando cada vez mais cookies de sessão roubados para contornar a autenticação multifator ( MFA ) e obter acesso a recursos corporativos, de acordo com a Sophos.
Em alguns casos, o roubo de cookies em si é um ataque altamente direcionado, com os adversários extraindo dados de cookies de sistemas comprometidos dentro de uma rede e usando executáveis legítimos para disfarçar a atividade maliciosa. Depois que os invasores obtêm acesso a recursos corporativos baseados na Web e em nuvem usando os cookies, eles podem usá-los para exploração adicional, como comprometimento de e-mail comercial, engenharia social para obter acesso adicional ao sistema e até modificação de dados ou repositórios de código-fonte.
“No ano passado, vimos invasores cada vez mais recorrerem ao roubo de cookies para contornar a crescente adoção da MFA. Os invasores estão recorrendo a versões novas e aprimoradas de malware que roubam informações, como o Raccoon Stealer, para simplificar o processo de obtenção de cookies de autenticação, também conhecidos como tokens de acesso”, disse Sean Gallagher , principal pesquisador de ameaças da Sophos . “Se os invasores tiverem cookies de sessão, eles podem se mover livremente pela rede, se passando por usuários legítimos.”
Os cookies de sessão ou autenticação são um tipo específico de cookie armazenado por um navegador da web quando um usuário faz login em recursos da web. Se os invasores os obtiverem, eles poderão realizar um ataque “pass-the-cookie” pelo qual injetam o token de acesso em uma nova sessão da Web, enganando o navegador e fazendo-o acreditar que é o usuário autenticado e anulando a necessidade de autenticação. Como um token também é criado e armazenado em um navegador da Web ao usar o MFA, esse mesmo ataque pode ser usado para contornar essa camada adicional de autenticação. Para agravar o problema, muitos aplicativos legítimos baseados na Web têm cookies de longa duração que raramente ou nunca expiram; outros cookies só expiram se o usuário sair especificamente do serviço.
Graças ao setor de malware como serviço, está ficando mais fácil para invasores iniciantes se envolverem em roubo de credenciais. Por exemplo, tudo o que eles precisam fazer é comprar uma cópia de um Trojan que rouba informações como o Raccoon Stealer para coletar dados como senhas e cookies em massa e depois vendê-los em mercados criminosos, incluindo o Genesis. Outros criminosos na cadeia de ataque, como operadores de ransomware, podem comprar esses dados e vasculhá-los para aproveitar qualquer coisa que considerem útil para seus ataques.
Por outro lado, em dois dos incidentes recentes que a Sophos investigou, os invasores adotaram uma abordagem mais direcionada. Em um caso, os invasores passaram meses dentro da rede de um alvo coletando cookies do navegador Microsoft Edge. O comprometimento inicial ocorreu por meio de um kit de exploração e, em seguida, os invasores usaram uma combinação de atividade Cobalt Strike e Meterpreter para abusar de uma ferramenta de compilador legítima para raspar tokens de acesso.
Em outro caso, os invasores usaram um componente legítimo do Microsoft Visual Studio para descartar uma carga maliciosa que raspava os arquivos de cookie por uma semana.
“Embora historicamente tenhamos visto o roubo de cookies em massa, os invasores agora estão adotando uma abordagem direcionada e precisa para o roubo de cookies. Como grande parte do local de trabalho se tornou baseado na Web, realmente não há fim para os tipos de atividades maliciosas que os invasores podem realizar com cookies de sessão roubados. Eles podem adulterar infraestruturas de nuvem, comprometer o e-mail comercial, convencer outros funcionários a baixar malware ou até mesmo reescrever o código dos produtos. A única limitação é sua própria criatividade”, disse Gallagher.
“Para complicar as coisas, não há solução fácil. Por exemplo, os serviços podem encurtar a vida útil dos cookies, mas isso significa que os usuários devem reautenticar com mais frequência e, à medida que os invasores recorrem a aplicativos legítimos para raspar os cookies, as empresas precisam combinar a detecção de malware com a análise comportamental.”
FONTE: HELPNET SECURITY