Sophos publicó un informe llamado «Robo de cookies: el nuevo desvío del perímetro», que los adversarios activos están utilizando cada vez más el robo de estos códigos y datos que se generan cuando un usuario inicia sesión dentro de una plataforma web, para eludir la autenticación multifactor (MFA) y obtener acceso a los recursos corporativos.
¿Cómo lo hacen?
En algunos casos, el robo de cookies en sí mismo es un ataque altamente dirigido, con adversarios que extraen datos de sistemas comprometidos dentro de una red y usan programas ejecutables legítimos para disfrazar la actividad maliciosa. Una vez que los Una vez que los atacantes obtienen acceso a los recursos corporativos basados en la web y en la nube utilizando las cookies, pueden usarlos para tener un mayor alcance, como el hecho de comprometer la red de correo electrónico comercial, la ingeniería social para obtener acceso adicional al sistema e incluso la modificación de los repositorios de datos o código fuente.
“Durante el año pasado, hemos visto a los atacantes recurrir cada vez más al robo de cookies para evitar la autenticación multifactor. Los atacantes están recurriendo a versiones nuevas y mejoradas de malware de robo de información como Raccoon Stealer para simplificar el proceso de obtención de cookies de autenticación, también conocidas como tokens de acceso”, dijo Sean Gallagher, investigador principal de amenazas de Sophos.
¿Qué son las cookies?
Las cookies de sesión o autenticación son datos almacenados por un navegador web cuando un usuario inicia sesión. Si los atacantes los obtienen, pueden inyectar dicho token de acceso en una nueva sesión web, engañando al navegador para que crea que es el usuario autenticado y anulando la necesidad de autenticación.
Dado que un token también se crea y almacena en un navegador web cuando se usa MFA, este mismo ataque se puede usar para eludir esta capa adicional de autenticación. Para agravar el problema, muchas aplicaciones legítimas basadas en la web tienen cookies de larga duración que rara vez o nunca caducan; otras solo caducan si el usuario se desconecta específicamente del servicio.
Hoy en día, la industria del malware como servicio hace más fácil para los atacantes de nivel básico que se involucren en el robo de credenciales. Por ejemplo, todo lo que necesitan hacer es comprar una copia de un troyano que roba información como Raccoon Stealer para recopilar datos como contraseñas y cookies a granel y luego venderlos en mercados de cibercrimen. Otros, como los operadores de ransomware, pueden comprar estos datos y filtrarlos para aprovechar vulnerabilidades o exploits que encuentren y robar datos.
Por el contrario, en dos de los incidentes recientes que investigó Sophos, los atacantes adoptaron un enfoque más específico. En un caso, los atacantes pasaron meses dentro de la red de un objetivo recopilando cookies del navegador Microsoft Edge. Luego, los atacantes usaron una combinación de actividad de Cobalt Strike y Meterpreter para abusar de una herramienta de compilación legítima para extraer tokens de acceso.
En otro caso, los atacantes utilizaron un componente legítimo de Microsoft Visual Studio para lanzar una carga maliciosa que extrajo archivos de cookies durante una semana.
“Debido a que gran parte del trabajo actual se desarrolla de forma remota y está basado en la web, los tipos de actividades maliciosas que los atacantes pueden llevar a cabo con las cookies de sesión robadas son realmente interminables. Pueden alterar las infraestructuras de la nube, comprometer el correo electrónico comercial, convencer a otros empleados para que descarguen malware o incluso reescribir el código de los productos. La única limitación es su propia creatividad”, dijo Gallagher.