SEGURIDAD

ROBO DE COOKIES

Los programas maliciosos de robo de credenciales forman parte del conjunto de herramientas utilizadas por una gran variedad de ciberdelincuentes y otros adversarios. Si bien, los nombres de cuentas de usuarios y las contraseñas son los objetivos más obvios de las actividades de robo de credenciales. El aumento del uso de la autenticación multifactor (MFA) para proteger los servicios basados en la web ha reducido la eficacia de ese enfoque. Por otro lado, los atacantes recurren cada vez más al robo de “cookies” asociadas a las credenciales para clonar sesiones web activas o recientes, burlando así la MFA.

La última versión de la red de bots Emotet es sólo una de las muchas familias de malware que tienen como objetivo las cookies y otras credenciales almacenadas por los navegadores. Así como también los inicios de sesión almacenados y (en algunos casos) los datos de las tarjetas de pago. El navegador Chrome utiliza el mismo método de cifrado para almacenar las cookies de autenticación multifactor y los datos de las tarjetas de crédito. Ambos objetivos de Emotet.

El abanico de ciberdelincuentes que atacan las cookies es amplio. En el extremo inferior de la gama de la ciberdelincuencia, el malware de robo de información, como el malware como servicio Raccoon Stealer y el keylogger/robador de información RedLine Stealer (ambos pueden comprarse a través de foros clandestinos) son utilizados a menudo por los ciberdelincuentes de nivel básico para recopilar cookies y otras credenciales al por mayor para su venta en los mercados delictivos.

SEGURIDAD

Los navegadores almacenan las cookies en un archivo; para Mozilla Firefox, Google Chrome y Microsoft Edge, el archivo es una base de datos SQLite en la carpeta del perfil del usuario. (Archivos SQLite similares almacenan el historial del navegador, los inicios de sesión en sitios web y la información de autorrelleno en estos navegadores). Otras aplicaciones que se conectan a servicios remotos tienen sus propios repositorios de cookies, o en algunos casos acceden a los de los navegadores web.

Pues bien, el contenido de cada cookie en la base de datos es una lista de parámetros y valores, un almacén de clave-valor que identifica la sesión del navegador al sitio web remoto, incluyendo en algunos casos un token pasado por el sitio al navegador tras la autenticación del usuario. Uno de estos pares clave-valor especifica la caducidad de la cookie, es decir, cuánto tiempo es válida antes de que deba ser renovada.

El robo de cookies no es sólo una actividad automatizada. En algunos casos, también forma parte de los esfuerzos de adversarios activos que buscan formas de profundizar su penetración en una red objetivo. En estos casos, los atacantes utilizan un punto de apoyo en la red para desplegar herramientas de explotación y utilizarlas para extender su acceso. A medida que más datos de valor se han enviado fuera de la red y a los servicios en la nube, estos atacantes han añadido a su lista de cosas por hacer el movimiento lateral a esos servicios mediante el robo de cookies y el robo de datos de inicio de sesión en la web.

Descubrimos una intrusión extendida de este tipo activa en junio de 2022, en la que el robo de cookies formaba parte de la actividad continua de Cobalt Strike y Meterpreter que se remontaba a meses atrás. Los atacantes se centraron específicamente en las cookies del navegador Microsoft Edge. En primer lugar, fueron capaces de utilizar el kit de exploits Impacket para propagarse desde el punto de entrada inicial a través de la transferencia de archivos SMB de Windows, dejando caer Cobalt Strike y Meterpreter en los ordenadores objetivo dentro de la red.