Tecnologia
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Sophos, líder mundial en ciberseguridad de última generación, publicó un informe llamado "Robo de cookies: el nuevo desvío del perímetro", que los adversarios activos están utilizando cada vez más el robo de estos códigos y/o datos que se generan cuando un usuario inicia sesión dentro de una plataforma web, para eludir la autenticación multifactor (MFA) y obtener acceso a los recursos corporativos.

¿Cómo lo hacen?

En algunos casos, el robo de cookies en sí mismo es un ataque altamente dirigido, con adversarios que extraen datos de sistemas comprometidos dentro de una red y usan programas ejecutables legítimos para disfrazar la actividad maliciosa. Una vez que los atacantes obtienen acceso a los recursos corporativos basados ​​en la web y en la nube utilizando las cookies, pueden usarlos para tener un mayor alcance, como el hecho de comprometer la red de correo electrónico comercial, la ingeniería social para obtener acceso adicional al sistema e incluso la modificación de los repositorios de datos o código fuente.

“Durante el año pasado, hemos visto a los atacantes recurrir cada vez más al robo de cookies para evitar la autenticación multifactor. Los atacantes están recurriendo a versiones nuevas y mejoradas de malware de robo de información como Raccoon Stealer para simplificar el proceso de obtención de cookies de autenticación, también conocidas como tokens de acceso”, dijo Sean Gallagher, investigador principal de amenazas de Sophos. “Si los atacantes tienen cookies de sesión, pueden moverse libremente por una red, haciéndose pasar por usuarios legítimos”.

¿Qué son las ‘cookies’?

Las cookies de sesión o autenticación son datos almacenados por un navegador web cuando un usuario inicia sesión. Si los atacantes los obtienen, pueden inyectar dicho token de acceso en una nueva sesión web, engañando al navegador para que crea que es el usuario autenticado y anulando la necesidad de autenticación.

Dado que un token también se crea y almacena en un navegador web cuando se usa MFA, este mismo ataque se puede usar para eludir esta capa adicional de autenticación. Para agravar el problema, muchas aplicaciones legítimas basadas en la web tienen cookies de larga duración que rara vez o nunca caducan; otras solo caducan si el usuario se desconecta específicamente del servicio.

Hoy en día, la industria del malware como servicio hace más fácil para los atacantes de nivel básico que se involucren en el robo de credenciales. Por ejemplo, todo lo que necesitan hacer es comprar una copia de un troyano que roba información como Raccoon Stealer para recopilar datos como contraseñas y cookies a granel y luego venderlos en mercados de cibercrimen. Otros, como los operadores de ransomware, pueden comprar estos datos y filtrarlos para aprovechar vulnerabilidades o exploits que encuentren y robar datos.

Por el contrario, en dos de los incidentes recientes que investigó Sophos, los atacantes adoptaron un enfoque más específico. En un caso, los atacantes pasaron meses dentro de la red de un objetivo recopilando cookies del navegador Microsoft Edge. Luego, los atacantes usaron una combinación de actividad de Cobalt Strike y Meterpreter para abusar de una herramienta de compilación legítima para extraer tokens de acceso.

En otro caso, los atacantes utilizaron un componente legítimo de Microsoft Visual Studio para lanzar una carga maliciosa que extrajo archivos de cookies durante una semana.

“Si bien históricamente hemos visto robos masivos de cookies, los atacantes ahora están adoptando un enfoque específico y preciso para robar dichos tokens . Debido a que gran parte del trabajo actual se desarrolla de forma remota y está basado en la web, los tipos de actividades maliciosas que los atacantes pueden llevar a cabo con las cookies de sesión robadas son realmente interminables. Pueden alterar las infraestructuras de la nube, comprometer el correo electrónico comercial, convencer a otros empleados para que descarguen malware o incluso reescribir el código de los productos. La única limitación es su propia creatividad”, dijo Gallagher.

“Lo que complica las cosas es que no hay una solución fácil. Por ejemplo, los servicios pueden acortar la vida útil de las cookies, pero eso significa que los usuarios deben volver a autenticarse con más frecuencia y, dado que los atacantes recurren a aplicaciones legítimas para obtener las cookies, las empresas deben combinar la detección de malware con el análisis del comportamiento”, concluye.

Para obtener más información sobre el robo de cookies de sesión y cómo los adversarios aprovechan la técnica para llevar a cabo actividades maliciosas, lea el informe completo, "Robo de cookies: el nuevo desvío del perímetro", en Sophos.com.

Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx

Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.

 

Suscríbase para recibir novedades, regalos y artículos

Su email jamás será compartido con nadie. Odiamos el spam.

Te puede interesar...

Save
Cookies user preferences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Marketing
Set of techniques which have for object the commercial strategy and in particular the market study.
DoubleClick/Google Marketing
Accept
Decline
$family
Accept
Decline
$constructor
Accept
Decline
each
Accept
Decline
clone
Accept
Decline
clean
Accept
Decline
invoke
Accept
Decline
associate
Accept
Decline
link
Accept
Decline
contains
Accept
Decline
append
Accept
Decline
getLast
Accept
Decline
getRandom
Accept
Decline
include
Accept
Decline
combine
Accept
Decline
erase
Accept
Decline
empty
Accept
Decline
flatten
Accept
Decline
pick
Accept
Decline
hexToRgb
Accept
Decline
rgbToHex
Accept
Decline
min
Accept
Decline
max
Accept
Decline
average
Accept
Decline
sum
Accept
Decline
unique
Accept
Decline
shuffle
Accept
Decline
rgbToHsb
Accept
Decline
hsbToRgb
Accept
Decline
Básicas
Accept
Decline
Analytics
Tools used to analyze the data to measure the effectiveness of a website and to understand how it works.
Google Analytics
Accept
Decline
Analíticas
Accept
Decline
Functional
Tools used to give you more features when navigating on the website, this can include social sharing.
AddThis
Accept
Decline
$family
$hidden
Accept
Decline
overloadSetter
Accept
Decline
overloadGetter
Accept
Decline
extend
Accept
Decline
implement
Accept
Decline
hide
Accept
Decline
protect
Accept
Decline
attempt
Accept
Decline
pass
Accept
Decline
delay
Accept
Decline
periodical
Accept
Decline
$constructor
alias
Accept
Decline
mirror
Accept
Decline
pop
Accept
Decline
push
Accept
Decline
reverse
Accept
Decline
shift
Accept
Decline
sort
Accept
Decline
splice
Accept
Decline
unshift
Accept
Decline
concat
Accept
Decline
join
Accept
Decline
slice
Accept
Decline
indexOf
Accept
Decline
lastIndexOf
Accept
Decline
filter
Accept
Decline
forEach
Accept
Decline
every
Accept
Decline
map
Accept
Decline
some
Accept
Decline
reduce
Accept
Decline
reduceRight
Accept
Decline
forEachMethod
Accept
Decline
each
clone
clean
invoke
associate
link
contains
append
getLast
getRandom
include
combine
erase
empty
flatten
pick
hexToRgb
rgbToHex
min
max
average
sum
unique
shuffle
rgbToHsb
hsbToRgb