Selon Sophos, les ennemis actifs utilisent de plus en plus les cookies de session volés pour contourner l’authentification multifacteur (MFA) et accéder aux ressources de l’entreprise.
Parfois, le vol de cookies lui-même est une attaque extrêmement ciblée, les adversaires récupérant les données des cookies des systèmes compromis au sein d’un réseau et utilisant des exécutables légitimes pour camoufler l’activité destructrice. Une fois que les assaillants ont obtenu l’accès aux ressources Web et cloud de l’entreprise en utilisant les cookies, ils peuvent les utiliser pour une exploitation ultérieure, telle que la compromission des e-mails de service, l’ingénierie sociale pour acquérir un accès supplémentaire au système, et même l’ajustement des référentiels d’informations ou de code source.
« Au cours de l’année écoulée, nous avons en fait vu des ennemis se tourner de manière significative vers le vol de cookies pour contourner l’adoption croissante de MFA. Les agresseurs s’appuient sur de nouvelles variantes améliorées de logiciels malveillants comme Raccoon Stealer pour simplifier le procédure d’obtention des cookies d’authentification, également appelés jetons d’accès », a déclaré Sean Gallagher, chercheur principal sur les risques chez Sophos. « Si les agresseurs ont des cookies de session, ils peuvent se déplacer librement sur un réseau, en se faisant passer pour de véritables utilisateurs. »
Les cookies de session, ou d’authentification, sont un type particulier de cookie enregistré par un navigateur Internet lorsqu’un utilisateur se connecte à ressources Web. Si les attaquants les acquièrent, ils peuvent mener une attaque « pass-the-cookie » par laquelle ils injectent le gain d’accès au jeton dans une nouvelle session Web, faisant croire au navigateur qu’il s’agit de l’utilisateur validé et annulant l’exigence d’authentification. Étant donné qu’un jeton est également développé et stocké sur un navigateur Web lors de l’utilisation de MFA, cette même attaque peut être utilisée pour contourner cette couche supplémentaire d’authentification. Le problème est aggravé par le fait que de nombreuses applications Web authentiques ont des cookies durables qui se terminent rarement ou jamais ; d’autres cookies n’expirent que si l’utilisateur se déconnecte particulièrement du service.
Grâce à l’industrie des logiciels malveillants en tant que service, il devient beaucoup plus facile pour les agresseurs débutants d’être impliqués dans le vol d’informations d’identification. Par exemple, tout ce qu’ils ont à faire est d’acheter une copie d’un cheval de Troie voleur d’informations comme Raccoon Stealer pour collecter des données telles que des mots de passe et des cookies en masse, puis les vendre sur des marchés criminels, comprenant Genesis. D’autres malfaiteurs de la chaîne d’attaque, tels que les opérateurs de ransomwares, peuvent ensuite acheter ces données et les trier pour tirer parti de tout ce qu’ils considèrent comme bénéfique pour leurs attaques.
Alternativement, dans deux des événements récents sur lesquels Sophos a enquêté, les agresseurs ont adopté une approche plus ciblée. Dans un cas, les attaquants ont investi des mois dans les cookies d’événements réseau d’une cible à partir du navigateur Microsoft Edge. La compromission préliminaire a eu lieu via un package d’exploit, et après cela, les attaquants ont utilisé un mélange d’activités Cobalt Strike et Meterpreter pour abuser d’un véritable outil de compilation pour gratter l’accès aux jetons.
Dans un autre cas, les ennemis a utilisé une partie légitime de Microsoft Visual Studio pour déposer une charge utile malveillante qui s’applique aux cookies pendant une semaine.
« Alors que nous avons traditionnellement vu des vols de cookies en masse, les ennemis adoptent désormais une technique ciblée et précise pour voler des cookies . Étant donné qu’une grande partie du lieu de travail a fini par être basée sur le Web, il n’y a en fait aucune fin aux types d’activités malveillantes que les ennemis peuvent mener avec des cookies de session volés. courrier électronique, persuader d’autres employés de télécharger des logiciels malveillants ou peut-être reformuler le code des articles. La seule contrainte est leur propre imagination », a déclaré Gallagher.
« Pour compliquer les choses, il n’existe pas de solution simple. Les services peuvent raccourcir la durée de vie attente de cookie es, cependant cela suggère que les utilisateurs doivent se ré-authentifier plus souvent, et, alors que les attaquants se tournent vers des applications légitimes pour supprimer les cookies, les entreprises doivent intégrer la détection des logiciels malveillants à l’analyse comportementale. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
