Acceso ilegal a datos de la empresa
Sophos Cybersecurity, Threat Research, Cookies
El equipo de Sophos X-Ops describe en su reciente informe "Cookie stealing: the new perimeter bypass" que los ciberdelincuentes utilizan cada vez más cookies de sesión robadas para eludir la autenticación multifactor (MFA) y acceder a los recursos corporativos. En algunos casos, el robo de cookies es un ataque dirigido en el que los datos de las cookies se leen desde sistemas comprometidos. Para ello, los delincuentes utilizan archivos ejecutables legítimos para disimular sus actividades.
Una vez que tienen acceso a recursos corporativos o basados en la web o en la nube utilizando las cookies, pueden utilizarlas para otros ataques. Estos podrían incluir correos electrónicos comprometedores o ingeniería social para estafar acceso adicional al sistema o incluso para provocar la alteración de datos o repositorios de código fuente.
"En el último año, hemos observado que los ciberdelincuentes recurren cada vez más al robo de cookies para eludir la creciente prevalencia de la AMF. Están utilizando malware nuevo y mejorado -como Raccoon Stealer- para facilitar el robo de cookies de autenticación, también conocidas como tokens de acceso", afirma Sean Gallagher, investigador principal de amenazas de Sophos. "Si los atacantes están en posesión de las cookies de sesión, pueden moverse libremente por una red".
Cómo burlar la autenticación: ataques "pass-the-cookie
Las cookies de sesión o de autenticación son un
tipo de cookie que almacena un navegador web cuando un
un usuario inicia sesión en recursos web. Una vez que los ciberdelincuentes se hacen con ellas
posesión de ellas, pueden llevar a cabo un ataque de "pasar la cookie
token de acceso en una nueva sesión web y presentarlo al navegador.
Una vez que los ciberdelincuentes se hacen con ellos, pueden llevar a cabo un ataque de "pasar la cookie".
usuario autenticado está iniciando sesión. Esto significa que ya no se
autenticación. Puesto que cuando se utiliza MFA, también se crea un token
también se crea y almacena en un navegador web, se puede utilizar el mismo ataque para
puede utilizarse para eludir esta capa adicional de autenticación.
bypass. Para complicar aún más las cosas, muchas aplicaciones legítimas basadas en web
legítimas crean cookies de larga duración que rara vez o nunca caducan;
Algunas cookies sólo se eliminan cuando el usuario explícitamente
se desconecta explícitamente del servicio.
Gracias al malware como servicio, cada vez es más fácil, incluso para los ciberdelincuentes más inexpertos. ciberdelincuentes en el lucrativo negocio del robo de credenciales. negocio de robar datos de acceso. Por ejemplo, todo lo que tienen que hacer es una copia de un troyano como Raccoon Stealer para recopilar datos como contraseñas y cookies en grandes cantidades y luego pueden venderlos en ofrecerlos en mercados delictivos como Genesis. Otros delincuentes en en la cadena de ataque, como los operadores de ransomware, pueden entonces comprar estos datos y luego comprar y tamizar a través de estos datos para explotar cualquier cosa que consideren útil para sus ataques.
El robo de cookies es cada vez más estratégico
En dos de los incidentes recientes investigados por Sophos,
los atacantes adoptaron un enfoque más selectivo. En un caso
caso, pasaron meses en la red de la empresa objetivo y
recopilaron cookies del navegador Microsoft Edge. El primer
El primer ataque se realizó a través de un exploit kit. Posteriormente, utilizaron
una combinación de actividades de Cobalt Strike y Meterpreter para obtener acceso
tokens de acceso a través de una herramienta de compilación legítima. En otro
En otro caso, los atacantes utilizaron un componente legítimo de
componente de Microsoft Visual Studio para entregar un malware malicioso que
que interceptó archivos cookie durante una semana.
"Si bien hemos visto robos masivos de cookies en el pasado, los ciberdelincuentes ahora están yendo
los ciberdelincuentes están adoptando ahora un enfoque específico y preciso para robar cookies,
para robar cookies. Ahora que gran parte del lugar de trabajo
basado en la web, no hay límite a la actividad maliciosa
que los atacantes pueden realizar con las cookies de sesión robadas.
Pueden manipular infraestructuras en la nube, comprometer correos electrónicos empresariales
comprometer correos electrónicos empresariales, persuadir a otros empleados para que descarguen malware o incluso
o incluso reescribir el código de los productos. El único límite
es su propia creatividad", afirma Gallagher. "Para empeorar las cosas
no existe una solución fácil. Los servicios pueden, por ejemplo
acortar la vida útil de las cookies, pero eso significa que los usuarios tienen que volver a autenticarse más a menudo.
los usuarios tienen que volver a autenticarse más a menudo. Dado que
los atacantes utilizan aplicaciones legítimas para recoger cookies,
las organizaciones deben combinar la detección de malware con el análisis del comportamiento.
análisis del comportamiento.