Accesso illegale ai dati aziendali
Sophos Cybersecurity, Threat Research, Cookies
Il team X-Ops di Sophos descrive nel suo recente report "Cookie stealing: the new perimeter bypass" che i criminali informatici utilizzano sempre più spesso cookie di sessione rubati per aggirare l'autenticazione a più fattori (MFA) e ottenere l'accesso alle risorse aziendali. In alcuni casi, il furto di cookie è un attacco mirato in cui i dati dei cookie vengono letti da sistemi compromessi. Per farlo, i criminali utilizzano file eseguibili legittimi per mascherare le loro attività.
Una volta ottenuto l'accesso alle risorse web o cloud-based o aziendali tramite i cookie, possono utilizzarli per ulteriori attacchi. Questi potrebbero includere e-mail compromettenti o social engineering per truffare ulteriori accessi al sistema o addirittura per causare l'alterazione di dati o archivi di codice sorgente.
"Nell'ultimo anno abbiamo osservato che i criminali informatici ricorrono sempre più spesso al furto di cookie per aggirare la crescente diffusione dell'MFA. Stanno utilizzando malware nuovi e migliorati, come Raccoon Stealer, per facilitare il furto dei cookie di autenticazione, noti anche come token di accesso", ha dichiarato Sean Gallagher, principal threat researcher di Sophos. "Se gli aggressori sono in possesso dei cookie di sessione, possono muoversi liberamente all'interno di una rete".
Superare l'autenticazione: gli attacchi "pass-the-cookie
I cookie di sessione o di autenticazione sono un tipo
tipo specifico di cookie che vengono memorizzati da un browser web quando un utente si
un utente accede alle risorse web. Una volta che i criminali informatici ne entrano in possesso
possesso di essi, possono effettuare un attacco "pass-the-cookie".
token di accesso in una nuova sessione web e presentarlo al browser.
e ingannare il browser facendogli credere che un utente autenticato stia effettuando l'accesso.
utente autenticato sta effettuando l'accesso. Questo significa che non è più necessaria un'ulteriore autenticazione.
non è più necessaria un'ulteriore autenticazione. Poiché quando si utilizza l'MFA, viene anche creato un token e memorizzato in un sito web.
viene creato e memorizzato nel browser web, lo stesso attacco può essere utilizzato per aggirare questo
può essere utilizzato per aggirare questo ulteriore livello di autenticazione.
bypassare. A complicare ulteriormente le cose, molte applicazioni legittime basate sul web
applicazioni web legittime creano cookie di lunga durata che scadono raramente o mai;
Alcuni cookie vengono eliminati solo quando l'utente si disconnette esplicitamente dal servizio.
esplicitamente il logout dal servizio.
Grazie al malware-as-a-service, anche per i criminali informatici più inesperti sta diventando sempre più facile criminali informatici di entrare nel lucroso business del furto di credenziali. di rubare i dati di accesso. Ad esempio, è sufficiente che i criminali una copia di un Trojan come Raccoon Stealer per raccogliere dati come password e cookie in grandi quantità e password e cookie in grandi quantità e possono poi venderli su mercati criminali come li offrono su marketplace criminali come Genesis. Altri criminali in nella catena di attacco, come i gestori di ransomware, possono poi acquistare questi dati e acquistare e setacciare questi dati per sfruttare tutto ciò che ritengono utile per i loro attacchi. utile per i loro attacchi.
Il furto di cookie sta diventando sempre più strategico
In due dei recenti incidenti su cui Sophos ha indagato,
gli aggressori hanno adottato un approccio più mirato. In un caso
In un caso, hanno trascorso mesi sulla rete dell'azienda bersaglio e hanno
e hanno raccolto cookie dal browser Microsoft Edge. La prima
compromissione è avvenuta tramite un kit di exploit. Successivamente, hanno utilizzato
una combinazione di attività Cobalt Strike e Meterpreter per ottenere token di accesso
token di accesso tramite uno strumento di compilazione legittimo. In un altro caso
In un altro caso, gli aggressori hanno utilizzato un componente legittimo di
Microsoft Visual Studio per distribuire un malware dannoso che
che intercettava i file cookie per una settimana.
"Mentre in passato abbiamo assistito a furti di cookie di massa, i criminali informatici stanno ora adottando un approccio mirato e preciso al furto di cookie.
I criminali informatici stanno adottando un approccio mirato e preciso per rubare i cookie,
per rubare i cookie. Con gran parte del mondo del lavoro ormai
web, non c'è limite alle attività dannose,
che gli aggressori possono svolgere con i cookie di sessione rubati.
Possono manipolare le infrastrutture cloud, compromettere la posta elettronica aziendale
compromettere le e-mail aziendali, persuadere altri dipendenti a scaricare malware o anche
o addirittura a riscrivere il codice dei prodotti. L'unico limite
è la loro creatività", afferma Gallagher. "A peggiorare le cose,
non esiste una soluzione semplice. I servizi possono, ad esempio
ridurre la durata dei cookie, ma ciò significa che gli utenti devono riaccedere più spesso.
gli utenti devono effettuare nuovamente l'autenticazione più spesso. Poiché
gli aggressori utilizzano applicazioni legittime per raccogliere i cookie,
le organizzazioni devono combinare il rilevamento delle minacce informatiche con l'analisi comportamentale.
analisi comportamentale.