La técnica comprobada de usar cookies de sesión robadas para eludir las protecciones de autenticación multifactor (MFA) y obtener acceso a sistemas clave ha aumentado enormemente en los últimos meses, según la inteligencia publicada hoy por Sophos.
Tales ataques, a menudo denominados ataques de pasar la cookie, por supuesto, no son nada nuevo. De hecho, han sido durante mucho tiempo una herramienta establecida en el arsenal de los ciberdelincuentes porque, en última instancia, permiten a los atacantes asumir la personalidad de un usuario legítimo y hacer todo lo que el usuario legítimo puede hacer.
En junio de 2022, Microsoft desveló una campaña de phishing a gran escala que afectó a 10 000 de sus clientes mediante el uso de sitios de phishing para robar contraseñas, secuestrar sesiones de inicio de sesión y eludir funciones MFA de primera línea. Y ha habido múltiples advertencias antes de eso, incluida una alerta de la autoridad cibernética de EE. UU. CISA a principios de 2021.
Funcionan así. Una sesión o cookie de autenticación, que es almacenada por un navegador web cuando un usuario inicia sesión en un recurso basado en la web, puede, si es robada, inyectarse en una nueva sesión web para engañar al navegador para que piense que el usuario autenticado está presente y no necesidad de acreditar su identidad. Debido a que dicho token también se crea y almacena en un navegador web cuando MFA está en juego, la misma técnica se puede usar fácilmente para omitirlo.
Este problema se ve agravado por el hecho de que muchas aplicaciones basadas en la web tienen cookies de larga duración que rara vez caducan, o solo lo hacen si el usuario se desconecta específicamente del servicio.
En un nuevo informe, Robo de cookies: el nuevo bypass perimetralla recién establecida unidad X-Ops de Sophos dijo que estos ataques son cada vez más frecuentes gracias a la creciente popularidad de las herramientas MFA.
El acceso a los ataques pass-the-cookie es trivial para un actor de amenazas, dijo X-Ops; en muchos casos, todo lo que tendrían que hacer es obtener una copia de un ladrón de información, como Raccoon Stealer, para recopilar datos de credenciales y cookies en a granel y venderlos a otros, incluso bandas de ransomware, en la web oscura.
“Los atacantes están recurriendo a versiones nuevas y mejoradas de malware que roba información para simplificar el proceso de obtención de cookies de autenticación, también conocidas como tokens de acceso”, dijo Sean Gallagher, investigador principal de amenazas en Sophos. “Si los atacantes tienen cookies de sesión, pueden moverse libremente por una red, haciéndose pasar por usuarios legítimos”.
En muchos casos, dijo X-Ops, el acto de robo de cookies se está convirtiendo en un ataque mucho más dirigido, con adversarios que extraen datos de cookies dentro de una red y usan ejecutables legítimos para ocultar su actividad.
En un caso al que respondió Sophos, un atacante usó un kit de explotación para establecer el acceso, y luego una combinación de las herramientas Cobalt Strike y Meterpreter para abusar de una herramienta de compilación legítima y raspar tokens de acceso. Pasaron meses dentro de la red de su víctima recopilando cookies del navegador Microsoft Edge.
El objetivo final es obtener acceso a los recursos basados en la web o alojados en la nube de la víctima, que luego se pueden usar para una mayor explotación, como el compromiso del correo electrónico comercial, la ingeniería social para obtener acceso a sistemas adicionales o incluso la modificación de los datos de la víctima. o repositorios de código fuente.
“Si bien históricamente hemos visto robos masivos de cookies, los atacantes ahora están adoptando un enfoque específico y preciso para el robo de cookies”, dijo Gallagher. “Debido a que gran parte del lugar de trabajo se ha vuelto basado en la web, los tipos de actividades maliciosas que los atacantes pueden llevar a cabo con las cookies de sesión robadas realmente no tienen fin.
“Pueden alterar las infraestructuras de la nube, comprometer el correo electrónico comercial, convencer a otros empleados para que descarguen malware o incluso reescribir el código de los productos. La única limitación es su propia creatividad”.
Gallagher agregó: “Lo que complica las cosas es que no hay una solución fácil. Por ejemplo, los servicios pueden acortar la vida útil de las cookies, pero eso significa que los usuarios deben volver a autenticarse con más frecuencia y, dado que los atacantes recurren a aplicaciones legítimas para raspar las cookies, las empresas deben combinar la detección de malware con el análisis del comportamiento”.
