Accès illégal aux données d'entreprise
Sophos Cybersecurity, Threat Research, Cookies
L'équipe X-Ops de Sophos décrit dans son dernier rapport "Vol de cookies : le nouveau contournement de périmètre" que les cybercriminels utilisent de plus en plus les cookies de session volés pour contourner l'authentification à facteurs multiples (MFA) et accéder aux ressources de l'entreprise. Dans certains cas, le vol de cookies est une attaque ciblée qui consiste à extraire les données de cookies des systèmes compromis. Pour ce faire, les criminels utilisent des fichiers exécutables légitimes pour dissimuler leurs activités.
Une fois que les cookies leur permettent d'accéder à des ressources web, cloud ou d'entreprise, ils peuvent les utiliser pour lancer d'autres attaques. Il peut s'agir par exemple de compromettre des e-mails ou de recourir à l'ingénierie sociale pour obtenir des accès supplémentaires au système ou même pour modifier des données ou des dépôts de code source.
"Au cours de l'année écoulée, nous avons observé que les cybercriminels recourent de plus en plus au vol de cookies pour contourner l'adoption croissante de l'AMF. Ils utilisent des malwares nouveaux et améliorés - comme Raccoon Stealer - pour faciliter le vol des cookies d'authentification, également connus sous le nom de jetons d'accès", explique Sean Gallagher, Principal Threat Researcher chez Sophos. "Si les attaquants sont en possession de cookies de session, ils peuvent se déplacer librement dans un réseau".
Passer à côté de l'authentification : les attaques "Pass-the-Cookie".
Les cookies de session ou d'authentification sont un certain
type de cookie stocké par un navigateur Web lorsque celui-ci se connecte à des
un utilisateur se connecte à des ressources web. Dès que des cybercriminels entrent en possession de leur
ils peuvent lancer une attaque de type "pass the cookie".
dans laquelle ils introduisent le jeton d'accès dans une nouvelle session Web.
et faire croire au navigateur qu'il s'agit d'un utilisateur authentifié.
utilisateur authentifié. Ainsi, aucune autre authentification n'est nécessaire
n'est plus nécessaire. Comme un jeton est également créé lors de l'utilisation de MFA
est créé et stocké dans un navigateur Web, la même attaque peut être utilisée pour
être utilisée pour contourner ce niveau d'authentification supplémentaire.
contourner le problème. Pour compliquer les choses, de nombreuses applications Web légitimes utilisent des cookies.
Les applications créent des cookies de longue durée qui n'expirent que rarement, voire jamais ;
Certains cookies ne sont supprimés que lorsque l'utilisateur se déconnecte du service
se déconnecte explicitement du service.
Grâce aux logiciels malveillants en tant que service, il devient de plus en plus facile, même pour les cybercriminels les plus inexpérimentés, d'accéder à des données personnelles. cybercriminels de se lancer dans le commerce lucratif du vol d'identité. de se lancer dans le vol de données d'accès. Il leur suffit par exemple de acheter une copie d'un cheval de Troie comme Raccoon Stealer pour récupérer des données telles que mots de passe et les cookies en grande quantité et peuvent ensuite les les proposer sur des places de marché criminelles comme Genesis. D'autres criminels dans la de la chaîne d'attaque, comme les exploitants de ransomware, peuvent récupérer ces données ensuite acheter et explorer tout ce qu'ils considèrent comme utile à leurs attaques. jugent utiles.
Le vol de cookies devient de plus en plus stratégique
Dans deux des récents incidents étudiés par Sophos,
les pirates ont adopté une approche plus ciblée. Dans un cas, ils ont
cas, ils ont passé des mois dans le réseau de l'entreprise cible et ont
ont collecté des cookies du navigateur Microsoft Edge. La première
compromission s'est faite via un kit d'exploitation. Ensuite, ils ont utilisé
une combinaison d'activités Cobalt Strike et Meterpreter afin de
de récupérer les jetons d'accès via un outil de compilation légitime. Dans un autre cas
Dans un autre cas, les agresseurs ont utilisé un programme légitime
Microsoft Visual Studio pour lancer un malware malveillant.
qui a intercepté des fichiers de cookies pendant une semaine.
"Alors que nous avons assisté par le passé à des vols massifs de cookies
a pu être observé, les cybercriminels agissent désormais de manière ciblée et précise,
pour voler des cookies. Comme une grande partie du lieu de travail est désormais
est basée sur le Web, il n'y a pas de limites aux activités malveillantes,
que les pirates peuvent effectuer avec des cookies de session volés.
Ils peuvent manipuler les infrastructures de l'informatique en nuage, envoyer des e-mails professionnels
compromettre, inciter d'autres collaborateurs à télécharger des logiciels malveillants.
ou même réécrire le code de produits. La seule limite est
est leur propre créativité", explique Gallagher. "Ce qui complique encore les choses,
qu'il n'existe pas de solution simple. Certes, les services peuvent par exemple
réduire la durée de vie des cookies, mais cela signifie que vous devez vous authentifier.
les utilisateurs doivent se réauthentifier plus souvent. Comme
les pirates utilisent des applications légitimes pour récupérer les cookies,
les entreprises doivent combiner la détection des logiciels malveillants avec l'analyse comportementale
combiner".