Sophos explica como cibercriminosos exploram cookies para obter acesso a dados corporativos

A Sophos, empresa global em cibersegurança de próxima geração, anunciou em relatório do Sophos X-Ops, intitulado “Cookie stealing: the new perimeter bypass”, que invasores estão explorando cada vez mais os cookies de sessão – cookies temporários utilizados para lembrar de credenciais durante visitas à web, que perdem a validade quando o navegador é fechado – para burlar medidas de proteção, como a autenticação multi-fator (MFA), e ter acesso aos Dados das empresas.

Em alguns casos, o próprio roubo de cookies é altamente direcionado, no qual cibercriminosos capturam dados de sistemas vulneráveis em uma rede e usam acessos legítimos para disfarçar a atividade maliciosa. Uma vez que os invasores conseguem acesso a recursos corporativos armazenados na web e na Nuvem por meio dos cookies, eles podem usá-los para uma exploração mais profunda, como o BEC (Business Email Compromise ou o golpe conhecido como ‘Fraude do CEO’), criar emails fraudulentos e perfis falsos para obter acesso adicional ao sistema e até mesmo modificar dos repositórios de Dados ou do código fonte.

“No ano passado, vimos os ataques se voltarem cada vez mais para o roubo de cookies, por conta da crescente adoção da MFA. Os invasores estão recorrendo a versões novas e aperfeiçoadas de roubo de Dados, como o ‘Raccoon Stealer’ para simplificar o processo de obtenção de cookies de autenticação – também conhecidos como tokens de acesso”, explica Sean Gallagher, principal pesquisador de ameaças da Sophos. “Se os cibercriminosos conseguirem acesso aos cookies de sessão, eles podem se mover livremente por uma rede, fazendo-se passar por usuários legítimos”.

Os cookies de sessão ou autenticação são um tipo particular de cookie armazenado por um navegador quando um usuário faz login em um site e/ou acessa recursos da web. Ao realizar uma MFA, é gerado e armazenado um token neste navegador, como uma camada adicional de autenticação para maior segurança das informações. O problema é que muitas aplicações legítimas têm cookies de longa duração, que raramente ou nunca expiram, e outras realmente só vencem se o usuário se desconectar do serviço. Nesses casos, se os invasores obtiverem sucesso, eles podem conduzir um ataque “pass-the-cookie”, pelo qual podem inserir o token de acesso em uma nova sessão da web, “enganando” o navegador para parecer que são usuários válidos e anular a necessidade de uma nova autenticação.

Graças à indústria de malware-as-a-service, cibercriminosos de nível básico têm encontrado mais facilidade para se envolverem no roubo desses acessos. Nesse contexto, por exemplo, , tudo o que eles precisam fazer é comprar uma cópia de um trojan que rouba informações, como o “Raccoon Stealer”, para coletar Dados, como senhas e cookies em massa, e depois vendê-los em mercados ilegais, incluindo o Genesis. Outros criminosos, como os operadores de ransomware, podem comprar esses Dados para filtrar informações que possam ser úteis para seus ataques.

Por outro lado, em dois dos incidentes recentes investigados pela Sophos, os cibercriminosos adotaram uma abordagem mais direcionada. Em um caso, os invasores passaram meses dentro de uma rede-alvo coletando cookies do navegador Microsoft Edge. O acesso inicial ocorreu por meio de um kit de exploração e, então, utilizaram uma combinação de Cobalt Strike e Meterpreter para se aproveitar de uma ferramenta de compilação legítima a fim de capturar tokens de acesso. Em outro caso, os criminosos usaram um componente legítimo do Microsoft Visual Studio para liberar um carregamento malicioso que rouba arquivos de cookies durante uma semana.

“Embora historicamente tenhamos visto roubos de cookies em massa, os invasores estão adotando uma abordagem precisa e direcionada para essa finalidade. Como grande parte do ambiente de trabalho hoje é online, realmente não há fim para as possibilidades de atividades maliciosas que cibercriminosos podem realizar com cookies de sessão roubados. Eles podem adulterar a infraestrutura da Nuvem, comprometer o e-mail comercial, convencer outros funcionários a baixar malware ou até mesmo reescrever códigos para produtos. A única limitação será a própria criatividade”, diz Gallagher. “O agravante é que não há solução fácil. Por exemplo, os serviços de cibersegurança podem reduzir a validade dos cookies, mas isso significa que os usuários devem re-autenticar com mais frequência, e, à medida que os invasores se voltam a aplicações legítimas para capturar cookies, as empresas precisam combinar a detecção de malware com análise comportamental”, conclui o executivo.

Para saber mais sobre o roubo de cookies de sessão e como os cibercriminosos estão explorando a técnica para realizar atividades maliciosas, leia o relatório completo “Cookie Stealing: the new perimeter bypass”.

Serviço
www.sophos.com