Los atacantes recurren cada vez más al robo de cookies de sesión o autenticación

Sophos ha publicado el informe de Sophos X-Ops, "Cookie stealing: the new perimeter bypass", que revela que los adversarios activos están explotando cada vez más las cookies de sesión robadas para eludir la autenticación multifactor (MFA) y obtener acceso a los recursos corporativos. En algunos casos, el robo de cookies en sí mismo es un ataque altamente dirigido, con adversarios que extraen datos de cookies de sistemas comprometidos dentro de una red y usan ejecutables legítimos para disfrazar la actividad maliciosa. Una vez que los atacantes obtienen acceso a los recursos corporativos basados en la web y en la nube utilizando las cookies, pueden usarlas para una mayor explotación, como el compromiso del correo electrónico empresarial (BEC), la ingeniería social para obtener acceso adicional al sistema e incluso la modificación de datos o repositorios de código fuente.

"Durante el año pasado, hemos visto a los atacantes recurrir cada vez más al robo de cookies para evitar la creciente adopción de MFA. Los atacantes están recurriendo a versiones nuevas y mejoradas de malware de robo de información, como Raccoon Stealer, para simplificar el proceso de obtención de cookies de autenticación, también conocidas como tokens de acceso", explica Sean Gallagher, investigador principal de amenazas de Sophos. "Si los atacantes tienen cookies de sesión, pueden moverse libremente por una red, haciéndose pasar por usuarios legítimos".

Las cookies de sesión, o autenticación, son un tipo particular de cookie almacenada por un navegador web cuando un usuario inicia sesión en los recursos web. Si los atacantes los obtienen, entonces pueden llevar a cabo un ataque de "pass-the-cookie" mediante el cual inyectan el token de acceso en una nueva sesión web, engañando al navegador para que crea que es el usuario autenticado y anulando la necesidad de autenticación. Dado que un token también se crea y almacena en un navegador web cuando se usa MFA, este mismo ataque se puede usar para evitar esta capa adicional de autenticación. Lo que agrava el problema es que muchas aplicaciones web legítimas tienen cookies de larga duración que rara vez o nunca caducan; otras cookies solo caducan si el usuario cierra sesión específicamente en el servicio.

"Si bien históricamente hemos visto el robo masivo de cookies, los atacantes ahora están adoptando un enfoque específico y preciso para el robo de cookies. Debido a que gran parte del lugar de trabajo se ha basado en la web, realmente no hay fin para los tipos de actividad maliciosa que los atacantes pueden llevar a cabo con las cookies de sesión robadas. Pueden alterar las infraestructuras en la nube, comprometer el correo electrónico empresarial, convencer a otros empleados de descargar malware o incluso reescribir el código de los productos. La única limitación es su propia creatividad", apunta Gallagher. "Lo que complica las cosas es que no hay una solución fácil. Por ejemplo, los servicios pueden acortar la vida útil de las cookies, pero eso significa que los usuarios deben volver a autenticarse con más frecuencia y, a medida que los atacantes recurren a aplicaciones legítimas para robar las cookies, las empresas deben combinar la detección de malware con el análisis de comportamiento".