A Ameaça Invisível dos Infostealers e a Vulnerabilidade das Soluções de Login Único Corporativas
19 de Outubro de 2023

Não é apenas sua percepção, o cibercrime está aumentando dramaticamente. Na Flare, identificamos um aumento de 112% nos ataques de ransomware de extorsão de dados em 2023 em comparação com 2022, e continuamos a ver um aumento da atividade no ecossistema de cibercrime.

Uma das tendências mais subestimadas que está impulsionando esse aumento dramático é o comprometimento das aplicações empresariais de login único (SSO) como parte dos ataques de malware infostealer.

O malware infostealer rapidamente se tornou uma das ameaças mais perniciosas, mas desconhecidas para as organizações empresariais.

Infostealers são um tipo de Trojan de Acesso Remoto (RAT) que infecta o computador da vítima e rouba todas as credenciais, cookies de sessão e informações de preenchimento de formulário salvas no navegador.

O malware então envia esses dados para uma backend especializada e se auto-termina, deixando poucos rastros na máquina da vítima.

Os atores de ameaças podem então usar esses dados para lançar ataques de tomada de conta (ATO), comprometer contas bancárias e, em alguns casos, comprometer ambientes de TI corporativos.

Vemos cerca de um milhão de novos logs stealer distribuídos todos os meses, com uma estimativa de três a cinco% contendo credenciais e cookies de sessão para ambientes de TI corporativos.

O Telegram atua como o ponto central para todo o ciclo de vida dos logs stealer.

Os atores de ameaças podem facilmente comprar acesso a malware infostealer com infraestrutura de comando e controle (C2) em canais de Telegram dedicados por um preço fixo mensal.

Os atores de ameaças então distribuem malware infostealer e utilizam o Telegram como o backend onde novos “logs” são entregues após a infecção bem-sucedida.

Finalmente, esses arquivos de log são então distribuídos em canais públicos e privados do Telegram para outros atores de ameaças.

Os canais privados são onde acreditamos que a maioria dos “logs de alto valor” são enviados, incluindo aqueles com acesso bancário e acesso ao ambiente de TI corporativo, enquanto logs de valor mais baixo e mais antigos são distribuídos em canais públicos.

Canais privados operam como empresas comerciais pagas, com o proprietário do canal distribuindo dezenas de milhares de logs por semana a um número limitado de atores de ameaças que pagam de US$ 200 a US$ 400 pelo acesso ao canal.

Isso permite que eles tenham a "primeira escolha" dos logs stealer, que provavelmente serão eventualmente distribuídos através de canais públicos do Telegram.

Soluções de login único (SSO) surgiram como um pilar fundamental da cibersegurança corporativa.

As ferramentas SSO simplificam a autenticação, permitem às organizações impor autenticação multifator (MFA), melhoram as medidas de conformidade e oferecem uma via unificada para supervisão do acesso a aplicações.

No entanto, existe uma outra face; as soluções SSO também podem ser o calcanhar de Aquiles de uma organização.

Em um projeto recente na Flare, examinamos cinco fornecedores de SSO corporativos amplamente utilizados, analisando mais de 22 milhões de logs stealer.

Nossas descobertas revelaram um impressionante número de 312.855 domínios de aplicação SSO corporativa em logs stealer publicamente disponíveis.

Mesmo levando em consideração tokens de sessão expirados, a magnitude do risco é imensa.

Nós categorizamos as ameaças como:

Logs stealer potencialmente abrigando credenciais e tokens de sessão ativos para ferramentas SSO.

Isso torna viável para entidades maliciosas acessar as contas diretamente.

Mesmo que os cookies de sessão não sejam mais válidos, logs stealer podem conter dados de "preenchimento automático" do navegador, que fornecem aos atores de ameaças detalhes como números de identificação de funcionários, endereços residenciais, respostas a perguntas de segurança, detalhes de cartões de crédito e mais.

Esses dados podem ser manipulados para enganar a equipe de help desk a liberar códigos 2FA e MFA.

Esses logs também armazenam vastos detalhes pessoais sobre os funcionários, incluindo informações sensíveis como credenciais para sites de conteúdo adulto, detalhes bancários e contas de mídia social. Esses dados podem ser usados como material de chantagem.

Em alguns ataques observados visando entidades que utilizam SSO, há evidências que sugerem que os atacantes já possuíam as credenciais SSO, tornando seus esquemas enganosos significativamente mais simples.

É crucial sublinhar o imenso potencial que os logs stealer apresentam para táticas de engenharia social.

Seja através de cookies de sessão ativa ou de engenharia social, uma vez que o acesso SSO é comprometido, os atores de ameaças podem usar esse acesso para comprometer uma infinidade de serviços essencialmente ao mesmo tempo.

Este vetor pode ser particularmente atraente para um corretor de acesso inicial (IAB) que procura estabelecer uma presença na infraestrutura de TI de uma organização, que então seria leiloada para o maior lance, muitas vezes acredita-se ser operadores de ransomware ou afiliados.

No geral, usar o SSO como este processo unificado, simplificado e centralizado de autenticação não vem sem suas falhas e potenciais vulnerabilidades, das quais os atores de ameaças estão plenamente cientes.

Isso destaca a importância de evitar que os usuários acessem serviços SSO em um dispositivo pessoal ou não autorizado, pois o risco de infecção é inequivocamente maior em um dispositivo que não é gerenciado pela TI.

Este pipeline de ataque destaca a necessidade de uma ferramenta de monitoramento confiável e abrangente com visibilidade nos logs stealer compartilhados no Telegram; a detecção precoce de um compromisso pode ajudar a prevenir potenciais desastres cibernéticos.

Flare é uma plataforma SaaS que fornece gerenciamento de exposição a ameaças de alto valor personalizado para organizações.

Flare detecta ameaças em centenas de mercados e fóruns da dark web, milhares de canais ilícitos do Telegram e fontes claras de risco na web.

Nossa plataforma SaaS se integra ao seu programa de segurança existente em 30 minutos com integrações nativas que permitem criar um programa de cibersegurança liderado por ameaças. Faça um teste gratuito para saber mais.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...