Los piratas informáticos están robando cookies de sesiones web actuales o recientes para evitar la autenticación multifactor (MFA), según un informe de eSecurity Planet. El método de ataque, informado por los investigadores de Sophos, ya está creciendo en uso. El «espectro de delitos cibernéticos de robo de cookies» es amplio, mencionaron los investigadores, que van desde «delincuentes de nivel de entrada» hasta adversarios avanzados, utilizando diversas técnicas.

Los ciberdelincuentes recopilan cookies o compran credenciales robadas «al por mayor» en foros de la Web Oscura. Los grupos de ransomware también recolectan cookies y «sus actividades pueden no ser detectadas por defensas antimalware simples debido a su abuso de ejecutables legítimos, tanto ya presentes como traídos como herramientas», escribieron los investigadores.

Los navegadores permiten a los usuarios mantener la autenticación, recordar contraseñas y autocompletar formularios. Eso puede parecer conveniente, pero los atacantes pueden explotar esta funcionalidad para robar credenciales y omitir el desafío de inicio de sesión.

Detrás de escena, los navegadores usan archivos de base de datos SQLite que contienen cookies. Estas cookies se componen de pares clave-valor, y los valores a menudo contienen información crítica, como tokens y fechas de vencimiento.

Los adversarios conocen el nombre exacto y la ubicación de estos archivos para todos los principales navegadores, como Chrome, Firefox e incluso Brave en varios sistemas operativos. Es por eso que el ataque puede ser programado. Es poco raro encontrar este tipo de scripts junto con otros módulos en el robo de información y otros programas maliciosos.

Por ejemplo, la última versión de la botnet Emotet tiene como objetivo las cookies y las credenciales almacenadas por los navegadores, que incluyen tarjetas de crédito guardadas. Según los investigadores de Sophos «el navegador Chrome de Google utiliza el mismo método de encriptación para almacenar cookies de autenticación multifactor y datos de tarjetas de crédito».

Para obtener acceso inicial, los atacantes también pueden realizar campañas de phishing y spear-phishing para implantar cuentagotas que pueden desplegar sigilosamente malware ladrón de cookies.

Las cookies se utilizan luego para la post-explotación y los movimientos laterales. Los ciberdelincuentes pueden usarlos para cambiar contraseñas y correos electrónicos asociados con cuentas de usuario o engañar a las víctimas para que descarguen malware adicional o incluso implementar otras herramientas de explotación como Cobalt Strike e Impacket kit.

Los usuarios deben evitar utilizar funciones integradas para guardar contraseñas a menos que el navegador las cifre con ―al menos― una contraseña maestra. Se recomienda que los usuarios desmarquen la configuración llamada «recordar contraseñas» y los usuarios probablemente tampoco deberían permitir sesiones persistentes.

Los desarrolladores pueden ser parte del problema si son negligentes para proteger correctamente las cookies de autenticación. Dichas cookies deben tener una fecha de caducidad breve. De lo contrario, la autenticación persistente podría convertirse en una amenaza persistente. Puede tener grandes procesos de seguridad y aun así ser pirateado porque las cookies no tienen los indicadores necesarios (por ejemplo, HttpOnly, atributo seguro). Por ejemplo, las cookies de autenticación deben enviarse mediante canales SSL/TLS. De lo contrario, los datos podrían enviarse en texto sin formato y los atacantes solo tendrían que olfatear el tráfico para interceptar las credenciales.

Nota de Joel Barrios: Lo anterior implica configurar como mínimo los anfitriones virtuales de servidores Web para utilizar la cabecera Strict-Transport-Security.

Fuente: eSecurity Planet, vía Slashdot.