Cibercriminosos usam malwares do tipo Stealer no roubo de cookies

Por Heimdall: Com diversas ameaças digitais emergindo a cada dia, os cibercriminosos sem dúvida apostam em utilizar malwares do tipo stealer (com foco em roubo de informações) para obter lucros sobre os dados roubados. Como exemplo, podemos mencionar o malware conhecido como Redline Stealer, o qual acaba se tornando uma das principais escolhas dos cibercriminosos para roubo de dados, seja de credenciais ou carteiras de criptomoedas.

Vale salientar que existe uma grande variedade de malwares stealers, os quais facilitam o roubo de contas por meio de cookies de sessões salvas em navegadores.

Após obterem uma grande quantidade de informações de credenciais de vítimas ao longo de todo o mundo, estes cibercriminosos acabam por realizar a venda das informações em formato de “log”. A venda pode ocorrer em canais de cibercrime no Telegram ou em Fóruns da Dark Web, como RussianMarket, Breach Forums, RuTOR, XSS e muitos outros.

Caso a compra seja realizada, com base nas informações coletadas pelos malwares, o comprador poderá se passar pelas vítimas devido as credenciais roubadas ou até mesmo os cookies, facilitando desta forma a entrada em uma rede corporativa utilizando credenciais de VPN, praticar outros tipos de fraudes ou até mesmo realizar a revenda destas credenciais a terceiros.

Neste artigo, vamos apresentar um overview sobre o mercado de vendas de logs de stealers com o foco em cookies, explicando como ocorre o roubo e qual o seu destino final.   

Malwares do tipo Stealer

Os malwares do tipo stealer ou infostealers são considerados um tipo de malware que são entregues por diversos formatos, seja por meio de botnets, anexos maliciosos de e-mails phishing, campanhas de spams, campanhas de malvertising, sites infectados e muitos outros.

A função principal deste malware é realizar o roubo de informações do dispositivo infectado, dentre elas informações como:

  • Credenciais armazenadas em navegadores (mais de 100 tipos);
  • Cookies de sessões ativos;
  • Credenciais ou informações de conexões de FTP;
  • Roubo de variáveis do sistema operacional;
  • Histórico de navegadores;
  • Campos de preenchimento automáticos do navegador;
  • Tokens do aplicativo Discord e de outros aplicativos;
  • Coleta de informações de VPN’s;
  • Coleta de informações de client de e-mails;
  • Coleta de determinados arquivos armazenados no dispositivo;
  • Coleta de informações de credenciais em cofres ou em qualquer outro repositório;
  • Coleta de credenciais e informações de carteiras de criptomoedas como Bitcoin, Monero etc;
  • Coleta de informações financeiras;
  • Coleta de informações do dispositivo, como o figerprint;
  • Coleta de informações de Autenticador de Duplo Fator;
  • E outras informações que os desenvolvedores destes malwares achem úteis.

Outro detalhe importante é que este tipo de malware é oferecido na Dark Web em formato de serviço (Malware-as-a-Service), na qual um usuário necessita apenas realizar a compra de uma licença de uso deste malware, chegando por vezes a pagar valores baixos, como por exemplo o pagamento de US$130 para utilização da versão básica do Vidar Stelaer por 7 dias de acordo com o anúncio do malware.

Preços anunciados do Stealer Vidar

Como forma de exemplificar, apresentamos alguns dos stealers identificados e monitorados pela equipe de inteligência da ISH:

Anúncio do Vidar Stealer em um fórum da Dark Web
Exemplo do painel do Stealer disponibilizado pelo vendedor
Anúncio do Medusa Stealer em um fórum da Dark Web
Anúncio do Continental Stealer em um fórum da Dark Web

Dentre os malwares infostealers mais conhecidos, podemos citar:

  • Raccoon Stealer
  • RedLine Stealer
  • Aurora Stealer
  • Rhadamanthys
  • RecordBreaker
  • BlueFox
  • DuckTrail
  • BlackGuard
  • RisePro
  • StrelaStealer
  • BlueFox Stealer
  • Vidar Stealer
  • Mars Stealer
  • LokiBot
  • qBit Stealer
  • Atomic Stealer
  • TrapStealer
  • Lumma Stealer
  • Meduza Stealer
  • PureLand Stealer

É valido salientar que não se limitamos apenas estes nomes dos stealers, apenas apresentamos alguns dos principais que se encontram atuante no mercado do cibercrime.

Cookies: o que são e como acontece o roubo dos dados

Desde meados do segundo semestre de 2022, malwares infostealers focaram em realizar o roubo de cookies vinculados a identificação e autenticação, fornecendo aos cibercriminosos um novo tipo de informação a ser coletada e utilizada posteriormente para atingir seus objetivos.

É valido salientar que o roubo de credenciais é o método mais óbvio de atuação destes stealers e dos cibercriminosos, porém, com o aumento da utilização da autenticação de multifator (MFA) para proteção de contas acabou por reduzir a abordagem apenas do roubo das credenciais, logo, os cibercriminosos evoluíram e começaram a realizar o roubo de “cookies” associados a credenciais visando clonar sessões da Web ativas, ignorando desta forma o MFA.

Essa possibilidade do roubo de cookies forneceu uma grande arma para os cibercriminosos, uma vez que podem adquirir ou roubar cookies de determinados usuários de grandes organizações e aplicar um “bypass” nos acessos, e desta forma ter acesso a rede corporativa.

Um dos exemplos destas atividades foi realizada pelo grupo Lapsus$, na qual segundo os autores do ataque cibernético a EA, eles realizaram a compra da sessão de cookie de um usuário, dando acesso a instância do Slack da empresa, permitindo falsificar o login existente do funcionário. Em consequência, o grupo realizou o roubo de 780 gigabytes de dados, incluindo código fonte de jogos e outros.

O que são cookies?

O cookie é um pequeno pedaço de dados armazenado no navegador do usuário enquanto acessa um site. Os cookies podem ser utilizados para diversos propósitos, dentre eles: manter o usuário logado, lembrar preferências de sites, rastrear sessões e outros.

Os navegadores realizam o armazenamento dos cookies de sessões em um arquivo. No caso dos navegadores Mozilla Firefox, Google Chrome e Microsoft Edge, o arquivo é no formato SQLite e se encontram nas pastas de utilização do programa, estando dentro deste arquivo por exemplo, o cookie “auth_token”.

Exemplo de cookies armazenados em um arquivo “.salite

A lógica para utilização do roubo de cookies é que os cookies associados à autenticação em serviços da web podem ser utilizados por invasores em ataques conhecidos como “pass the cookie” (passar o cookie em português), tentando desta forma se passar pelo usuário legítimo para quem o cookie foi originalmente emitido e obter acesso aos serviços da web sem a necessidade de um login.

Como exemplo, demonstramos no diagrama a seguir o método normal de autenticação de sessão em um servidor da Web realizado por um usuário.

Diagrama representando a sessão normal em um servidor da Web

Já no diagrama a seguir, exemplificamos a realização do ataque de “pass-the-cookie” por um cibercriminoso.

Diagrama representando o ataque realizado por um cibercriminoso com o roubo de cookies

Esse tipo de ataque poderá levar a exploração de serviços Web, software-as-a-service, movimentação lateral, comprometimentos de e-mails e muitos outros tipos de acessos dos quais é possível obter com o cookie de sessão.

Portanto, apresentamos ainda alguns exemplos de ações que podem ser utilizadas para prejudicar quaisquer tentativas destes tipos de ataques visando o roubo de cookies por meio de malwares.

Como se proteger

O Heimdall, time de inteligência de ameaças da ISH, recomenda que seja realizada a limpeza regular de cookies e outras informações de autenticação dos navegadores, reduzindo desta forma a superfície de ataque potenciais fornecidas pelos perfis do navegador, bem como as organizações podem tentar utilizar ferramentas para controle de período de cookies permitidos.

Além destas recomendações, algumas outras podem ser utilizadas com o intuito de não se infectar com malwares stealers como:

  • Atualize regularmente o software: Mantenha seu sistema operacional, navegador e todos os softwares, especialmente os de segurança, atualizados.
  • Utilize antivírus: Instale e mantenha um software antivírus.
  • Habilite o Firewall: Use o firewall do seu sistema operacional ou um firewall de terceiros para monitorar e controlar o tráfego de entrada e saída do seu computador.
  • Pratique a Navegação Segura:
    • Evite clicar em links desconhecidos ou suspeitos.Não faça downloads de fontes não confiáveis.Verifique sempre os URLs para garantir que você está visitando sites legítimos.
    • Use a navegação privada quando necessário.
  • Educação em Segurança Cibernética: Esteja ciente das táticas comuns de phishing e engenharia social.
  • Use Senhas Fortes e Gerenciadores de Senhas: Crie senhas fortes, únicas para cada conta e considere usar um gerenciador de senhas confiável para armazená-las com segurança.
  • Habilitar Autenticação de Dois Fatores (2FA): Sempre que possível, ative a 2FA para suas contas online.
  • Cuidado com Anexos de Email e Downloads: Seja cauteloso ao abrir anexos de email ou baixar arquivos de emails não solicitados, especialmente se eles parecerem suspeitos ou vierem de remetentes desconhecidos.
  • Limitar Privilégios de Usuário: Use contas com privilégios limitados para o uso diário, reservando as contas administrativas apenas para tarefas que as requerem.

ISH conta com uma equipe de Threat Intelligence preparada para antecipar e mitigar riscos, protegendo ativos valiosos, mantendo a continuidade e a integridade dos negócios. Fale conosco e saiba mais.