Os invasores cibernéticos continuam a melhorar as apostas para cometer crimes em série. Uma nova tática que os hackers estão usando é roubar cookies de sessões da web atuais ou recentes para contornar a autenticação multifator (MFA). Portanto, os hackers roubam cookies de sessão para ignorar a autenticação multifator e cometer delitos.
O novo método de ataque, relatado por pesquisadores da Sophos, já está crescendo em uso. O “espectro de crimes cibernéticos de roubo de cookies” é amplo, escreveram os pesquisadores, variando de “criminosos de nível básico” a adversários avançados, usando várias técnicas.
Os cibercriminosos coletam cookies ou compram credenciais roubadas “em massa” em fóruns da dark web. Os grupos de ransomware também coletam cookies e “suas atividades podem não ser detectadas por simples defesas anti-malware devido ao abuso de executáveis legítimos, tanto já presentes quanto trazidos como ferramentas”.
Não é um alvo surpreendente para os hackers, uma vez que a grande maioria das atividades agora são baseadas na web. Até as infraestruturas de nuvem dependem de cookies para autenticar seus usuários.
Hackers roubam cookies de sessão para ignorar a autenticação multifator
Há um mercado enorme para credenciais roubadas e vários ângulos de ataque para clonar sessões da Web ou falsificar logins existentes por meio de instâncias específicas. Dependendo dos objetivos, esse acesso pode ser particularmente atraente para adversários que precisam exfiltrar dados valiosos, obter segredos corporativos ou chantagear vítimas para pagar demandas de resgate.
Como os hackers roubam cookies
Os navegadores permitem que os usuários mantenham a autenticação, lembrem-se de senhas e preencham automaticamente os formulários. Isso pode parecer conveniente, mas os invasores podem explorar essa funcionalidade para roubar credenciais e ignorar o desafio de login.
Nos bastidores, os navegadores usam arquivos de banco de dados SQLite que contêm cookies. Esses cookies são compostos de pares de valores-chave e os valores geralmente contêm informações críticas, como tokens e datas de validade.
Os adversários sabem o nome exato e a localização desses arquivos para todos os principais navegadores, como Chrome, Firefox e até mesmo Brave, em vários sistemas operacionais. É por isso que o ataque pode ser roteirizado. Não é incomum encontrar esses scripts junto com outros módulos em roubo de informações e outros malwares.
Por exemplo, a versão mais recente do botnet Emotet tem como alvo cookies e credenciais armazenadas por navegadores, que incluem cartões de crédito salvos. De acordo com os pesquisadores da Sophos, “o navegador Chrome do Google usa o mesmo método de criptografia para armazenar cookies de autenticação multifator e dados de cartão de crédito”.
Para obter acesso, os invasores também podem realizar campanhas de phishing e spear-phishing para implantar droppers que podem implantar furtivamente malwares que roubam cookies.
Os cookies são então usados para pós-exploração e movimentos laterais. Os cibercriminosos podem usá-los para alterar senhas e e-mails associados a contas de usuários, enganar as vítimas para que baixem malware adicional ou até mesmo implantar outras ferramentas de exploração, como o Cobalt Strike e o kit Impacket.
Como os usuários podem proteger o acesso
Os usuários não devem usar recursos integrados para salvar senhas, a menos que o navegador as criptografe com, pelo menos, uma senha mestra. É recomendado que os usuários desmarquem a configuração chamada “lembrar senhas”, e os usuários provavelmente não devem permitir sessões persistentes também.
Não é o comportamento padrão, mas geralmente é possível ajustar as configurações para evitar que o navegador pergunte se você deseja ou não salvar a senha toda vez que fizer login. Você também pode excluir todos os cookies automaticamente ao fechar o navegador.
Embora possa parecer bastante inconveniente, os gerenciadores de senhas podem remover o incômodo de digitar suas credenciais, porque você terá que reautenticar as sessões. No entanto, lembre-se de que não é à prova de balas, pois alguns malwares ainda podem instalar extensões ou processos enganados que podem interceptar o tráfego local e os dados enviados pelo seu gerenciador de senhas.
No entanto, ainda é uma estratégia muito melhor do que usar seu navegador para manter a autenticação por dias a fio, mesmo se você usar soluções de segurança aprimorada, como o Brave.
Os pesquisadores observaram que alguns aplicativos como o Slack usam cookies persistentes e permanecem abertos indefinidamente em alguns ambientes, mesmo que os cookies específicos da sessão sejam limpos quando o navegador é fechado.
Outros aplicativos podem ser vulneráveis a roubos de cookies porque usam seus próprios armazenamentos de cookies, às vezes sem data de validade.
Cookies da perspectiva do desenvolvedor
Algumas implementações de MFA são ruins, expondo o sistema a vários tipos de falsificação. Os desenvolvedores podem ser parte do problema se não protegerem os cookies de autenticação adequadamente.
Esses cookies devem ter uma data de validade curta. Caso contrário, a autenticação persistente pode se transformar em uma ameaça constante.
Você pode ter ótimos processos de segurança e ainda ser hackeado porque os cookies não possuem os sinalizadores necessários (por exemplo, HttpOnly, atributo Secure). Por exemplo, os cookies de autenticação devem ser enviados usando canais SSL/TLS. Caso contrário, os dados poderiam ser enviados em texto simples e os invasores teriam apenas que farejar o tráfego para interceptar as credenciais.
Alguns aplicativos armazenam informações em cookies com hashes reversíveis, permitindo que os cibercriminosos prevejam e forjem tokens. Não há como o aplicativo distinguir se as solicitações vêm de um usuário legítimo ou de um falsificador se o algoritmo foi quebrado.
É essencial ter uma política CORS apropriada para evitar injeções maliciosas que podem ser obtidas remotamente.
Segurança como parte da cultura empresarial
Uma parte significativa da cibersegurança baseia-se mais no bom senso do que no profundo conhecimento técnico. O treinamento de conscientização sobre segurança cibernética pode ensinar a muitos funcionários as melhores práticas.
Por exemplo, eles podem não fechar a sessão para “acelerar” o trabalho, mas é fácil ver por que isso é um grande risco de segurança. Toda vez que os funcionários sacrificam a segurança em detrimento da conveniência, é um obstáculo a menos para os invasores.
Os pontos de autenticação são pontos perigosos por natureza, e as organizações devem habilitar o MFA sempre que possível, mesmo que possa ser contornado. As técnicas podem variar bastante, mas é sempre a mesma tática.
Se um sistema de segurança for muito forte, adversários determinados se concentrarão no fator humano. A reautenticação não é a tarefa mais demorada na realidade, e muitas operações podem ser automatizadas por meio de técnicas como senhas mestras, preenchimento automático e limpeza automática.