Acesso ilegal aos dados da empresa
Sophos Cybersecurity, Threat Research, Cookies
A equipa Sophos X-Ops descreve no seu recente relatório "Roubo de bolos: o novo desvio do perímetro" que os cibercriminosos estão cada vez mais a utilizar cookies de sessão roubados para contornar a autenticação multi-factor (AMF) e obter acesso a recursos empresariais. Em alguns casos, o roubo de cookies é um ataque direccionado em que os dados de cookies são lidos a partir de sistemas comprometidos. Ao fazê-lo, os criminosos utilizam ficheiros executáveis legítimos para disfarçar as suas actividades.
Uma vez que tenham acesso a recursos baseados na web ou na nuvem ou a recursos empresariais utilizando os cookies, podem utilizá-los para futuros ataques. Estes podem incluir e-mails comprometedores ou engenharia social para enganar o acesso adicional ao sistema ou mesmo para causar a alteração de repositórios de dados ou códigos-fonte.
"Durante o ano passado, observámos que os cibercriminosos recorrem cada vez mais ao roubo de cookies para contornar a crescente prevalência do AMF. Eles estão a utilizar novos e melhorados programas malware - como o Raccoon Stealer - para facilitar o roubo de cookies de autenticação, também conhecidos como fichas de acesso", disse Sean Gallagher, principal investigador de ameaças na Sophos. "Se os atacantes estiverem na posse de cookies de sessão, podem circular livremente por uma rede".
Passar a autenticação: ataques 'pass-the-cookie'.
Os cookies de sessão ou de autenticação são um
tipo de cookie que são armazenados por um navegador web quando um
um utilizador inicia sessão em recursos web. Assim que os cibercriminosos se apoderam deles
posse deles, podem levar a cabo um ataque "pass-the-cookie
aceder ao token numa nova sessão web e apresentá-lo ao navegador.
sessão e fazer com que o navegador pense que um utilizador autenticado está a iniciar a sessão.
o utilizador autenticado está a iniciar a sessão. Isto significa que não há mais autenticação
já não é necessário. Desde quando a AMF é utilizada, uma ficha é também
é também criado e armazenado num navegador web, o mesmo ataque pode ser usado para
pode ser utilizado para contornar esta camada adicional de autenticação.
desvio. Complicando ainda mais, muitos assuntos legítimos baseados na web
As aplicações criam cookies de longa duração que raramente ou nunca expiram;
Alguns cookies são apagados apenas quando o utilizador o faz explicitamente
explicitamente desconectado do serviço.
Graças à guerra masculina como um serviço, está a tornar-se cada vez mais fácil, mesmo para os mais inexperientes cibercriminosos para entrar no negócio lucrativo do roubo de credenciais. negócio de roubo de dados de acesso. Por exemplo, tudo o que eles têm de fazer é uma cópia de um Troiano como o Raccoon Stealer para recolher dados tais como senhas e cookies em grandes quantidades e pode depois vendê-los em lojas de criminosos oferecê-los em mercados criminosos como o Génesis. Outros criminosos em na cadeia de ataque, tais como operadores de resgate, podem então comprar estes dados e depois comprar e peneirar através destes dados para explorar qualquer coisa que considerem úteis para os seus ataques.
O roubo de bolachas está a tornar-se mais estratégico
Em dois dos incidentes recentes, Sophos investigou,
os atacantes adoptaram uma abordagem mais direccionada. Em um
Num caso, passaram meses na rede da empresa alvo e
cookies recolhidos a partir do browser Microsoft Edge. Os primeiros
O compromisso foi feito através de um kit de exploração. Posteriormente, utilizaram
uma combinação de actividades de Cobalt Strike e Meterpreter para obter acesso
fichas de acesso através de uma ferramenta de compilação legítima. Noutra
Num outro caso, os atacantes utilizaram um
componente Microsoft Visual Studio para entregar um malware malicioso que
que interceptou ficheiros de cookies durante uma semana.
"Embora tenhamos visto roubos em massa de biscoitos no passado, os cibercriminosos estão agora a
Os cibercriminosos estão agora a adoptar uma abordagem direccionada e precisa ao roubo de cookies,
para roubar biscoitos. Com grande parte do local de trabalho agora
com base na web, não há limite para a actividade maliciosa,
que os atacantes podem executar com cookies de sessão roubados.
Podem manipular infra-estruturas de nuvem, comprometer e-mails comerciais
comprometer e-mails comerciais, persuadir outros empregados a descarregar malware ou mesmo
ou mesmo reescrever o código dos produtos. O único limite
é a sua própria criatividade", diz Gallagher. "Para piorar a situação,
não existe uma solução fácil. Enquanto que os serviços podem, por exemplo
encurtar a vida útil dos cookies, mas isso significa que os utilizadores têm de voltar a autenticar com mais frequência.
os utilizadores têm de voltar a autenticar com mais frequência. Desde , os utilizadores têm de re-autenticar mais frequentemente.
Os atacantes utilizam aplicações legítimas para colher biscoitos,
as organizações precisam de combinar a detecção de malware com a análise comportamental.
análise comportamental.