 |
|
|
Este mes, Sophos publicó un informe llamado “Robo de cookies: el nuevo desvío del perímetro”, que entrega detalles sobre cómo los adversarios activos están utilizando cada vez más el robo de estos códigos y datos que se generan cuando un usuario inicia sesión dentro de una plataforma web, para eludir la autenticación multifactor (MFA) y obtener acceso a los recursos corporativos.
En algunos casos, el robo de cookies en sí mismo es un ataque altamente dirigido, con adversarios que extraen datos de sistemas comprometidos dentro de una red y usan programas ejecutables legítimos para disfrazar la actividad maliciosa.
Una vez que los atacantes obtienen acceso a los recursos corporativos basados en la web y en la nube utilizando las cookies, pueden usarlos para tener un mayor alcance, como el hecho de comprometer la red de correo electrónico comercial, la ingeniería social para obtener acceso adicional al sistema e incluso, la modificación de los repositorios de datos o código fuente.
Las cookies de sesión o autenticación son datos almacenados por un navegador web cuando un usuario inicia sesión. Si los atacantes los obtienen, pueden inyectar dicho token de acceso en una nueva sesión web, engañando al navegador para que crea que es el usuario autenticado y anulando la necesidad de autenticación.
Dado que un token también se crea y almacena en un navegador web cuando se usa MFA, este mismo ataque se puede usar para eludir esta capa adicional de autenticación. Para agravar el problema, muchas aplicaciones legítimas basadas en la web tienen cookies de larga duración que rara vez o nunca caducan; otras solo caducan si el usuario se desconecta específicamente del servicio.
Hoy en día, la industria del malware como servicio hace más fácil para los atacantes de nivel básico que se involucren en el robo de credenciales. Por ejemplo, todo lo que necesitan hacer es comprar una copia de un troyano que roba información, como Raccoon Stealer, para recopilar datos como contraseñas y cookies a granel, y luego venderlos en mercados de cibercrimen. Otros, como los operadores de Ransomware, pueden comprar estos datos y filtrarlos para aprovechar vulnerabilidades y robar datos.
En uno de los incidentes recientes que investigó Sophos, los atacantes pasaron meses dentro de la red de un objetivo recopilando cookies del navegador Microsoft Edge. Luego, los atacantes usaron una combinación de actividad de Cobalt Strike y Meterpreter, para abusar de una herramienta de compilación legítima para extraer tokens de acceso.
Según indicó Sean Gallagher, Investigador Principal de Amenazas en Sophos, “lo que complica las cosas es que no hay una solución fácil. Por ejemplo, los servicios pueden acortar la vida útil de las cookies, pero eso significa que los usuarios deben volver a autenticarse con más frecuencia. Dado que los atacantes recurren a aplicaciones legítimas para obtener las cookies, las empresas deben combinar la detección de malware con el análisis del comportamiento”.
|
