Os hackers têm se concentrado cada vez mais em navegadores da web, explorando sua capacidade de armazenar credenciais de usuários. Essa mudança de foco tem implicações significativas para indivíduos e organizações.
Este artigo analisa os métodos usados pelos criminosos cibernéticos, as vulnerabilidades que eles exploram e as medidas proativas que podem ser tomadas para mitigar essas ameaças.
A ascensão do roubo de credenciais baseado em navegador
Navegadores modernos como o Google Chrome e o Microsoft Edge se tornaram ferramentas essenciais para usuários da internet, oferecendo recursos como armazenamento de senhas para aumentar a conveniência do usuário.
Essas credenciais são armazenadas em um formato criptografado, aproveitando a API de Proteção de Dados (DPAPI) para proteger informações confidenciais. Apesar dessas medidas de segurança, os hackers desenvolveram técnicas sofisticadas para contornar essas proteções e acessar credenciais armazenadas.
Compreendendo o cenário de ameaças
A técnica de roubar credenciais de navegadores da web não é nova. Ela faz parte da estrutura MITRE ATT&CK sob o ID T1555.003, destacando sua prevalência em estratégias de ciberataque.
Os agentes de ameaças geralmente têm como alvo essas credenciais após obter acesso inicial a um sistema, usando-as para aumentar privilégios e se mover lateralmente dentro de uma rede.
Essa mudança em relação aos métodos tradicionais, como atacar o Local Security Authority Subsystem Service (LSASS), se deve aos recursos de detecção aprimorados em soluções de segurança de endpoint.
Como os hackers exploram vulnerabilidades do navegador
Hackers exploram locais de arquivos específicos onde os navegadores armazenam informações sensíveis. Por exemplo, o Google Chrome e o Microsoft Edge armazenam credenciais e cookies na pasta AppData do usuário.
Ferramentas como SharpChrome e LaZagne são comumente usadas por invasores para acessar esses arquivos e descriptografar as informações armazenadas, conforme relatado pelo ipurpleteam.
Essas ferramentas aproveitam a API CryptUnprotectData para descriptografar os dados, o que representa um desafio significativo para as equipes de segurança.
Este trecho de código ilustra a API que os navegadores usam para criptografar dados, que os hackers tentam contornar.
Estratégias defensivas: melhorando a detecção e a resposta
Para combater essas ameaças, as organizações devem priorizar suas estratégias de detecção. Monitorar processos que não sejam de navegador que acessam arquivos e APIs sensíveis como CryptUnprotectData é crucial.
As equipes de segurança devem se concentrar em detecção baseada em comportamento em vez de métodos baseados em assinatura. Essa abordagem ajuda a identificar atividades anômalas que indicam tentativas de roubo de credenciais.
Oportunidades de detecçãoA imagem acima ilustra as camadas de detecção e os componentes de dados essenciais para identificar atividades de roubo de credenciais.
Implementando medidas de segurança proativas
As organizações devem realizar avaliações de segurança regulares, incluindo exercícios de equipe roxa, para avaliar suas capacidades de detecção.
Esses exercícios ajudam a identificar lacunas no controle de segurança e garantem que as regras de detecção sejam efetivamente ajustadas para capturar atividades maliciosas .
Além disso, habilitar políticas de auditoria detalhadas, como criação de processos e registro de acesso a arquivos, pode aumentar a visibilidade de possíveis ameaças.
À medida que os hackers desenvolvem suas táticas, as organizações devem permanecer vigilantes e proativas em seus esforços de segurança cibernética.
Ao entender os métodos usados pelos criminosos cibernéticos e implementar estratégias robustas de detecção e resposta, as empresas podem proteger suas informações confidenciais e minimizar o risco de roubo de credenciais.
Manter-se informado e se adaptar ao cenário de ameaças em constante mudança é essencial para manter um ambiente digital seguro.
2 thoughts on “Hackers atacam locais de credenciais armazenadas no navegador”
Comments are closed.