Roubo de cookies: Novo desvio de perímetro

À medida que as organizações migram para serviços de nuvem e utilizam autenticação multifator (MFA), os cookies vinculados à empresa e a essas autenticações oferecem a possíveis invasores um novo caminho para o comprometimento do nível de segurança das companhias. Os malwares de roubo de credenciais são parte integrante do kits de ferramentas usados por uma ampla variedade de cibercriminosos. Embora nomes e senhas de contas de usuários sejam os alvos mais óbvios de atividades de roubo de credenciais, o aumento do uso de MFA para proteger serviços baseados na web reduziu a eficácia dessa abordagem.

A versão mais recente do botnet Emotet é apenas um dos muitos grupos de malware que têm os cookies como alvos e outras credenciais armazenadas por navegadores, como logins salvos e, em alguns casos, dados de cartão de crédito. O navegador Chrome, do Google, por exemplo, usa o mesmo método de criptografia para armazenar cookies de MFA e dados de cartão de crédito, ambos alvos do Emotet.

A gama de criminosos que visam cookies é ampla. Na extremidade inferior da faixa de crimes cibernéticos, malwares de roubo de informações (como o malware as a service Raccoon Stealer) e o keylogger RedLine Stealer são frequentemente usados por invasores iniciantes para coletar cookies e outras credenciais em massa para uma posterior venda em marketplaces criminosos da deep web.

Um desses mercados, o Genesis, foi a fonte aparente de um cookie de um funcionário da desenvolvedora de jogos Electronic Arts (EA). Membros do grupo de extorsão Lapsus$ alegaram ter comprado um cookie de sessão roubado do mercado, dando-lhes acesso à instância Slack, da EA, permitindo falsificar um login existente de um funcionário da companhia de jogos e enganar um membro da equipe de Tecnologia da Informação (TI) para fornecer acesso à rede.

Esse acontecimento permitiu ao Lapsus$ roubar 780 gigabytes de dados, incluindo código-fonte de jogos e mecanismos gráficos que o grupo usou para tentar extorquir a EA.

No extremo superior do espectro de sofisticação criminal, observamos que adversários ativos coletam cookies de várias maneiras. Em alguns casos, vimos evidências de operadores de ransomware usando o mesmo malware ladrão de informações que invasores menos sofisticados.

No entanto, também vimos ataques práticos que abusam de ferramentas legítimas de segurança ofensiva — como Mimikatz, Metasploit Meterpreter e Cobalt Strike — para executar malwares de coleta de cookies ou executar scripts que os capturam dos cachês dos navegadores.

Existem também aplicativos e processos legítimos que interagem com os arquivos de cookies dos navegadores. Encontramos software antimalware, ferramentas de auditoria e auxiliares de sistema operacional entre as detecções de espionagem de cookies na telemetria feita pela Sophos, empresa na qual trabalho.

O atualizador de papel de parede do Bing, por exemplo, acessa cookies para recuperar novos planos de fundo da área de trabalho. Porém, com essas fontes benignas excluídas, vimos milhares de tentativas de acesso a cookies do navegador por dia que estão fora do domínio do comportamento natural do software.

Ocasionalmente, essas detecções aumentam drasticamente à medida que campanhas específicas são lançadas. Além disso, alguns aplicativos autênticos que usam cookies podem vazá-los, expondo os tokens aos invasores.

Os navegadores armazenam cookies em um arquivo. Para Mozilla Firefox, Google Chrome e Microsoft Edge, o arquivo é um banco de dados SQLite na pasta de perfil do usuário — arquivos SQLite semelhantes armazenam histórico do navegador, logins de sites e informações de preenchimento automático nesses navegadores. Outros aplicativos que se conectam a serviços remotos têm os próprios repositórios de cookies ou, em alguns casos, acesso aos dos navegadores da web.

O conteúdo de cada cookie no banco de dados é uma lista de parâmetros e valores — um armazenamento de valor-chave que identifica a sessão do navegador para o site remoto, incluindo, em alguns casos, um token passado pelo site para o navegador após a autenticação do usuário. Um desses pares de valores-chave especifica a expiração do cookie — por quanto tempo ele é válido antes de precisar ser renovado.

A razão para o roubo de cookies é simples: aqueles que são associados à autenticação de serviços da web podem ser usados por invasores em ataques de pass the cookie (“passar o cookie”, em tradução livre), tentando se passar por um usuário legítimo para quem o cookie foi originalmente emitido e obter acesso a serviços da web sem um desafio de login.

Isso é semelhante aos ataques passe o hash, que usam hashes de autenticação armazenados localmente para obter acesso aos recursos da rede sem precisar quebrar as senhas.

Deixe um comentário