Las cookies de sesión robadas, cada vez más explotadas por los ciberdelincuentes

Seguridad

26 AGO 2022

Los ciberdelincuentes explotan cada vez más las cookies de sesión robadas para eludir la autenticación multifactor y obtener acceso a los recursos corporativos, según un estudio de Sophos. Con ellas, los atacantes pueden hacerse pasar por usuarios legítimos y moverse libremente por la red.

Esta es la la principal conclusión de una de las últimas investigaciones de Sophos. En algunos casos, el robo de cookies en sí mismo es un ataque muy dirigido, en la que los ciberdelincuentes extraen datos de cookies de sistemas comprometidos dentro de una red y emplean ejecutables legítimos para disfrazar la actividad maliciosa. Una vez que los atacantes obtienen acceso a los recursos corporativos utilizando estos paquetes de datos, pueden usarlos para realizar ataques para comprometer el email (BEC) y de ingeniería social, para obtener acceso adicional al sistema e incluso modificar los repositorios de datos o el código fuente.

Sean Galagher, investigador principal de amenazas de la compañía, explica que “durante el último año, hemos visto cómo los atacantes recurren cada vez más al robo de cookies para sortear la creciente adopción de MFA. Los atacantes están recurriendo a versiones nuevas y mejoradas de malware para robo de información como Raccoon Stealer para simplificar el proceso de obtención de cookies de autenticación, también conocidas como tokens de acceso. Si tienen cookies de sesión, pueden moverse libremente por una red, haciéndose pasar por usuarios legítimos”.

Las cookies de sesión o autenticación son un tipo particular de cookie almacenada por un navegador web cuando un usuario inicia sesión en los recursos web. Si los atacantes las consiguen, pueden realizar un ataque mediante el cual inyectan el token de acceso en una nueva sesión web, engañando al navegador haciéndole creer que es el usuario autenticado y anulando la necesidad de autenticación. Dado que un token también se crea y almacena en un navegador web cuando se usa MFA, este mismo ataque se puede emplear para eludir esta capa adicional de autenticación.

El problema se agrava, además, porque muchas aplicaciones legítimas basadas en la web tienen cookies de larga duración que rara vez o nunca caducan y otras cookies solo caducan si el usuario se desconecta específicamente del servicio.

Además, a través del malware como servicio, cada vez es más fácil que los atacantes de nivel básico accedan a las credenciales robadas. Lo único que tienen que hacer es comprar una copia de un troyano que roba información, como Raccoon Stealer, para recopilar datos como contraseñas y cookies y luego venderlos en mercados clandestinos. Otros delincuentes, como los operadores de ransomware, pueden comprar estos datos y filtrarlos para aprovechar cualquier cosa que consideren útil para sus ataques.

Estos son ejemplos comunes, pero los ciberdelincuentes están adoptando enfoques más específicos y precisos. Sophos advierte de que "los tipos de actividades maliciosas que los atacantes pueden llevar a cabo con las cookies de sesión robadas son realmente interminables. Pueden alterar las infraestructuras de la nube, comprometer el correo electrónico comercial, convencer a otros empleados para que descarguen malware o incluso reescribir el código de los productos. La única limitación es su propia creatividad”.