La autenticación multifactor es una excelente manera de mantener a raya a los ciberdelincuentes, pero aparentemente algunos se están volviendo bastante buenos para eludir este tipo de protección al robar las cookies de la aplicación y la sesión del navegador.
Los investigadores de ciberseguridad de Sophos dicen que están observando un creciente apetito por las cookies, entre el malware de todos los niveles de sofisticación. Desde ladrones de información como Racoon Stealer o RedLine Stealer hasta troyanos destructivos como Emotet, un número cada vez mayor de virus y malware obtienen funcionalidades para robar cookies.
Al robar las cookies de sesión, los actores de amenazas pueden eludir la autenticación multifactor porque, con las cookies, el servicio ya considera que el usuario está autenticado y solo otorga acceso de inmediato. Eso también los convierte en un activo de alto valor en el mercado negro, con Sophos viendo que se venden cookies en Genesis, donde los miembros del grupo de extorsión Lapsus $ compraron una que resultó en un gran robo de datos del gigante de los videojuegos EA.
comprar galletas
Después de comprar una cookie de sesión de Slack de Genesis, el actor de amenazas logró falsificar un inicio de sesión existente de un empleado de EA y engañar al equipo de TI de la empresa para que proporcionara acceso a la red. Esto les permitió robar 780 GB de datos, incluido el código fuente del motor gráfico y del juego, que luego se usó en un intento de extorsión.
El mayor problema con las cookies es que duran relativamente mucho tiempo, especialmente para aplicaciones como Slack. Una cookie de mayor duración significa que los actores de amenazas tienen más tiempo para reaccionar y comprometer un punto final (se abre en una pestaña nueva). Los equipos de TI pueden programar sus navegadores y aplicaciones para acortar el período de tiempo permitido para que las cookies sigan siendo válidas, pero viene con una advertencia: eso significa que los usuarios deberán volver a autenticarse con más frecuencia, lo que, a su vez, significa que los equipos de TI deben lograr el equilibrio perfecto. entre seguridad y comodidad.
El abuso de cookies también se puede prevenir a través de reglas de comportamiento, sugiere Sophos, diciendo que es capaz de detener scripts y programas que no son de confianza «con una cantidad de detecciones de memoria y comportamiento».