[ Início ]

Introdução

Ataques de Pass-the-Cookie estão se tornando uma das principais armas utilizadas por atacantes responsáveis por campanhas massivas de sequestro de sessões de autenticação em navegadores web e, desta vez… o MFA não poderá te salvar.

Como Cookies de navegador funcionam

Para desenvolver essa ideia, primeiramente devemos entender o que é um Cookie de navegador e como ele funciona. Basicamente, um Cookie é um pequeno conjunto de dados armazenado localmente em um endpoint (computadores, celulares, tablets etc.) pelo navegador, contendo informações relacionadas à utilização dos sites acessados. Geralmente, esses dados são utilizados para garantir uma boa experiência aos usuários.

Um bom exemplo do funcionamento dos Cookies de navegador ocorre quando você entra em um site aleatório que possui um layout branco que, muitas vezes, quase te deixa cego. Então, no canto da tela, há um pequeno botão que permite deixar essa interface escura. Quando essa opção é habilitada, essa informação é salva em um Cookie, que posteriormente possibilitará que, quando o usuário retornar a esse mesmo website, o navegador consulte esse Cookie e o layout escuro seja automaticamente habilitado, sem a necessidade de clicar no botão novamente. Essencialmente, é como se o navegador lembrasse das preferências de uso daquele site pelo usuário.

Tudo isso, na prática, é muito útil e você deve se perguntar: “Qual o problema em aceitar todos os Cookies de um site?” (tenho certeza de que você já fez isso sem nem olhar). De fato, parece tudo muito bonito, até alguém decidir criar os Cookies de Sessão. Diferentemente dos Cookies utilizados para armazenar preferências de navegação, os Cookies de Sessão são responsáveis por manter uma sessão autenticada ativa após um processo de login bem-sucedido. Em outras palavras, eles permitem que um site reconheça que você já se autenticou anteriormente, evitando que seja necessário realizar um novo login a cada página acessada ou a cada nova interação com a plataforma. E são justamente esses Cookies que devem chamar a nossa atenção.

Lembra quando eu disse que os Cookies são armazenados localmente no endpoint do usuário? Isso também inclui os Cookies de sessão, que normalmente ficam armazenados em estruturas de banco de dados mantidas pelos navegadores. Para proteger essas informações, os sistemas operacionais modernos oferecem mecanismos de segurança, como o Data Protection API (DPAPI), utilizado pelo Windows para dificultar o acesso aos Cookies por aplicações não autorizadas. Entretanto uma vez que um endpoint é comprometido, Infostealers, buscam formas de contornar essas defesas e extrair os Cookies de sessão válidos, possibilitando ataques de Pass-the-Cookie.

Definição do ataque

Ataques de Pass-the-Cookie não podem ser considerados novos. Porém, ondas recentes de comprometimento em massa de contas observadas no cenário global, em redes sociais como Instagram e Discord, evidenciaram que, mesmo antigas, essas técnicas ainda se mostram extremamente eficientes. Isso se deve ao fato de que, uma vez que um Cookie de sessão é roubado, um agente de ameaça pode acessar a conta da vítima sem a necessidade de autenticação por meios convencionais, como a utilização de credenciais e MFA. Na prática, quando o atacante utiliza esses Cookies de sessão roubados, a aplicação passa a interpretar a conexão como uma sessão autenticada válida, ou seja, uma sessão que já foi aceita na etapa de autenticação, permitindo o acesso sem solicitar novamente credenciais de acesso e, em muitos casos, sem gerar alertas tradicionais de novo login.

Cadeia de ataque

De acordo com a pesquisadora Brenda Buckman, representante da empresa HUNTRESS, em um artigo publicado sobre o assunto, ataques de Pass-the-Cookie ocorrem em três etapas:

• Roubo dos Cookies de sessão
• Coleta e validação dos Cookies
• Acesso e comprometimento da conta da vítima

Roubo dos Cookies de sessão

Existem diversas técnicas de roubo de Cookies. A mais comum observada atualmente ocorre por meio da infecção por Infostealers, como o tão conhecido e temido Lumma e em casos ligados diretamente a roubo de Cookies de sessão do discord em incidentes recentes, o Infostealer conhecido como Shuyal Stealer. Esses malwares costumam possuir um “modus operandi” muito semelhante, infiltrando-se no endpoint da vítima por meio de campanhas de phishing, sites comprometidos ou instalações maliciosas e realizando uma busca pelos Cookies de sessão armazenados nos diretórios dos navegadores mais utilizados, como Microsoft Edge, Mozilla Firefox e Google Chrome, sem que a vítima perceba. Após a coleta, o Infostealer realiza o envio dessas informações para um servidor controlado pelo atacante e, nesse momento, o estrago já foi feito.

Coleta e validação dos Cookies

Após coletar os Cookies de sessão roubados de suas vítimas, é que o verdadeiro trabalho começa. Até então, a vítima não faz ideia de que foi comprometida, e esse é o cenário ideal para o atacante, que pode seguir dois caminhos distintos.

O primeiro consiste na utilização direta das informações roubadas, realizando o comprometimento da conta da vítima e obtendo acesso a informações sensíveis. O segundo consiste na comercialização desses Cookies em fóruns e marketplaces da Dark Web. Nesse cenário, o atacante não utiliza as informações roubadas para benefício próprio, pois seu interesse é puramente financeiro. Em vez disso, disponibiliza essas informações para venda em larga escala, frequentemente contendo gigabytes de Cookies roubados de diferentes vítimas, sem qualquer distinção.

Vale destacar que, em muitos casos, a validação desses Cookies ocorre de forma automatizada por ferramentas conhecidas como cookie checkers, capazes de testar milhares de sessões roubadas e identificar quais ainda permanecem válidas para uso pelos atacantes.

Acesso e comprometimento da conta da vítima

Como citado anteriormente, esta etapa pode ser conduzida tanto pelo atacante responsável pelo roubo inicial quanto por agentes de ameaça que adquiriram esses Cookies por meio de marketplaces da Dark Web. Em ambas as situações, um adversário com acesso aos Cookies de sessão possui a capacidade de comprometer a conta da vítima, obtendo acesso a e-mails, documentos confidenciais, fotos e conversas pessoais.

Além disso, como observado em campanhas recentes envolvendo contas do Discord, o roubo de Cookies de sessão também pode possibilitar a disseminação de outros malware por meio de contas comprometidas, que passam a ser utilizadas para distribuir arquivos maliciosos, e links fraudulentos para outras vítimas.

Como se proteger de ataques de Pass-the-Cookie

Apesar de não existir uma fórmula perfeita para impedir ataques de Pass-the-Cookie, a adoção de boas práticas de segurança continua sendo uma das formas mais eficazes de reduzir os riscos. Em ambientes corporativos, por exemplo, a Microsoft oferece uma camada adicional de proteção por meio do Conditional Access do Entra ID, permitindo que organizações definam regras capazes de avaliar fatores como geolocalização, reputação do endereço IP, conformidade do dispositivo e nível de risco da sessão durante uma tentativa de acesso. Embora esses mecanismos não eliminem completamente a possibilidade de exploração desse tipo de ataque, eles podem dificultar significativamente a reutilização de sessões roubadas por atacantes.

Além das proteções oferecidas pelas plataformas, a prevenção da infecção inicial continua sendo fundamental. Evitar o download de arquivos de fontes desconhecidas, não utilizar softwares piratas e manter atenção a campanhas de engenharia social, como ataques de ClickFix, são medidas capazes de reduzir consideravelmente a exposição a Infostealers amplamente utilizados por criminosos, como o Lumma.

Agora, caso exista a suspeita de que um Infostealer já tenha comprometido o dispositivo e realizado a coleta de Cookies de sessão, nem tudo está perdido. O primeiro passo deve ser garantir que o malware não permaneça ativo no endpoint, utilizando soluções de segurança como antivírus ou EDRs para identificação e remoção da ameaça. Em ambientes corporativos, também é recomendável isolar o equipamento da rede até que a análise seja concluída.

Após a contenção da ameaça, é fundamental alterar imediatamente as credenciais de contas críticas, como e-mails, serviços corporativos e redes sociais. Entretanto, apenas trocar a senha pode não ser suficiente. Também é necessário encerrar todas as sessões ativas, revogar tokens de autenticação quando possível e forçar a invalidação dos Cookies emitidos anteriormente, reduzindo a possibilidade de que sessões roubadas continuem sendo utilizadas por atacantes.

Referências

What Is Pass-the-Cookie? Definition, Examples & Prevention | Huntress

Shuyal Stealer: Advanced Infostealer Targeting 19 Browsers | Point Wild

Novo malware ataca navegadores no Windows para roubar contas do Discord | Seguranca