# T1185 - Browser Session Hijacking ## Descrição **Browser Session Hijacking** é uma técnica em que adversários exploram vulnerabilidades ou funcionalidades nativas de navegadores para interceptar sessões autenticadas, herdando cookies HTTP, certificados SSL de cliente e tokens de sessão sem precisar conhecer a senha do usuário. No contexto brasileiro, essa técnica tem relevância crítica para o setor financeiro: trojans bancários como [[s0531-grandoreiro|Grandoreiro]] e [[s0530-melcoz|Melcoz]] - desenvolvidos e operados majoritariamente por grupos brasileiros - utilizam browser session hijacking como mecanismo central para realizar fraudes em internet banking, plataformas de câmbio e corretoras. O [[s0531-grandoreiro|Grandoreiro]] em particular afeta milhões de usuários no Brasil, México, Espanha e Argentina, posicionando o LATAM como epicentro global dessa ameaça. O ataque opera em dois modelos principais: **Modelo 1 - Injeção no processo do navegador:** O malware injeta código no processo do browser (Chrome, Firefox, Edge) aproveitando-se de permissões como `SeDebugPrivilege`. Isso permite herdar completamente cookies de sessão, tokens OAuth e certificados TLS de cliente, dando ao adversário acesso autenticado a qualquer recurso que o navegador possa acessar - incluindo intranets corporativas, [[t1213-002-sharepoint|SharePoint]], webmail e sistemas bancários. **Modelo 2 - Proxy transparente:** O adversário configura o browser da vítima como proxy, redirecionando tráfego através de sua infraestrutura sem modificar o fluxo do usuário. A conexão proxy pode ser encerrada imediatamente após o uso. Este modelo **contorna autenticação de dois fatores (2FA)**, pois o adversário opera dentro da sessão já autenticada. Browsers modernos criam processos isolados por aba, mas a injeção no processo-pai ou em abas específicas de alto valor (ex: internet banking aberto) permanece eficaz. O [[g0094-kimsuky|Kimsuky]] usa essa técnica para espionagem em organizações governamentais e acadêmicas, enquanto trojans bancários LATAM focam em transferências financeiras fraudulentas em tempo real. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>Phishing / Download]) --> B[Instalação<br/>de Malware<br/>T1204] B --> C[Elevação<br/>de Privilégio<br/>SeDebugPrivilege] C --> D:::highlight[T1185<br/>Injeção no<br/>Processo do Browser] D --> E{Modelo} E --> F[Herança de<br/>Cookies / Tokens<br/>de Sessão] E --> G[Proxy<br/>Transparente<br/>no Browser] F --> H[Acesso a<br/>Internet Banking<br/>SharePoint] G --> H H --> I([Fraude Financeira<br/>ou Espionagem]) classDef highlight fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Comprometimento do endpoint e injeção** O adversário instala malware via [[t1566-phishing|phishing]], download drive-by ou bundler. O malware obtém privilégios elevados (administrador ou `SeDebugPrivilege`) e injeta código no processo do navegador alvo. No Windows, técnicas como `CreateRemoteThread` ou `Process Hollowing` são utilizadas para injetar DLLs maliciosas no espaço de memória do browser. [[s0154-cobalt-strike|Cobalt Strike]] possui módulos específicos para browser pivoting utilizados em operações de red team e por atores como [[g0094-kimsuky|Kimsuky]]. **Passo 2 - Captura de sessão e pivoting** Com o código injetado no browser, o malware captura cookies de sessão (incluindo cookies `HttpOnly` que normalmente são inacessíveis a JavaScript), tokens de sessão armazenados na memória e certificados de cliente. O adversário utiliza esses artefatos para se autenticar em sistemas internos ou configurar um proxy que espelha o tráfego autenticado. [[s0531-grandoreiro|Grandoreiro]] e [[s0530-melcoz|Melcoz]] monitoram a abertura de URLs de instituições financeiras brasileiras e ativam sobreposição de telas (overlay) para capturar transações em tempo real. **Passo 3 - Operação fraudulenta ou coleta de inteligência** O adversário opera dentro da sessão autenticada da vítima: realiza transferências bancárias (PIX, TED), coleta documentos internos em plataformas corporativas, ou exfiltra credenciais adicionais armazenadas no gerenciador de senhas do browser. Como opera dentro de uma sessão legítima, o 2FA já foi superado e alertas de "novo dispositivo" não são disparados. --- ## Detecção ### Event IDs Relevantes | Plataforma | Event ID | Descrição | |------------|----------|-----------| | Windows Security | 4688 | Criação de processo - identificar injeção em browser | | Windows Sysmon | 8 | `CreateRemoteThread` - thread remota criada em processo de browser | | Windows Sysmon | 10 | `ProcessAccess` - acesso ao espaço de memória de browser (chrome.exe, firefox.exe) | | Windows Sysmon | 3 | Conexão de rede - browser abrindo conexões para IPs externos incomuns | | Windows Security | 4672 | Atribuição de `SeDebugPrivilege` a conta de usuário padrão | | EDR / AV | - | Hooks de API em `WriteProcessMemory`, `VirtualAllocEx`, `CreateRemoteThread` | ### Sigma Rule ```yaml title: Browser Process Memory Injection - Possible Session Hijacking id: c7d2a341-0e4f-4b8c-9f11-a3b5c6d78901 status: experimental description: > Detecta acesso ao espaço de memória de processos de navegadores populares por processos não relacionados, possível indicativo de browser session hijacking (T1185) por trojans bancários ou spyware. author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1185 logsource: product: windows category: process_access detection: selection: TargetImage|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\iexplore.exe' - '\opera.exe' GrantedAccess|contains: - '0x1F0FFF' - '0x1F1FFF' - '0x143A' filter_legitimate: SourceImage|contains: - '\Windows\System32\' - '\Program Files\Google\Chrome\' - '\Program Files (x86)\Microsoft\Edge\' condition: selection and not filter_legitimate falsepositives: - Software de acessibilidade - Ferramentas de automação de testes (Selenium) - Antivírus com hooks de API level: high tags: - attack.collection - attack.t1185 ``` --- ## Mitigação | ID | Controle | Implementação para Organizações Brasileiras | |----|----------|---------------------------------------------| | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para reconhecer phishing e downloaders disfarçados; enfatizar risco de instalar software de fontes não verificadas | Simulações de phishing com foco em temas fiscais (SEFAZ, Receita Federal) usados por trojans bancários LATAM | | [[m1018-user-account-management\|M1018 - User Account Management]] | Impedir que usuários comuns tenham `SeDebugPrivilege`; usar contas separadas para operações financeiras | Rever GPO de "Debug programs" - garantir que apenas administradores de domínio tenham esse privilégio | | Endpoint Detection & Response (EDR) | Implantar EDR com detecção de injeção de processo; monitorar `CreateRemoteThread` em processos de browser | Soluções com cobertura de trojans bancários brasileiros (ex: [[s0531-grandoreiro\|Grandoreiro]], [[s0530-melcoz\|Melcoz]]) | | Browser Isolation | Isolar sessões de internet banking em browsers dedicados ou ambientes virtualizados | Implementar navegação isolada para acesso a sistemas financeiros críticos | | Credential Guard | Habilitar Windows Credential Guard para proteger tokens LSASS e impedir harvesting de memória | Aplicável em endpoints Windows 10/11 Enterprise - prioritário para estações de tesouraria e controladoria | --- ## Threat Actors que Usam - **[[g0094-kimsuky|Kimsuky]]** - APT norte-coreano patrocinado pelo Estado; usa browser session hijacking para espionagem em organizações governamentais, acadêmicas e de defesa. Presença documentada na América Latina em operações de coleta de inteligência. ## Software Associado - **[[s0531-grandoreiro|Grandoreiro]]** - Trojan bancário brasileiro de maior impacto global; usa overlay de tela e hijacking de sessão bancária para fraudar transações PIX e TED. Ativo no Brasil, México, Espanha e Argentina. Estimativa de perdas na casa dos bilhões de reais. - **[[s0530-melcoz|Melcoz]]** - Trojan bancário com origem no Brasil (família Allaple); especializado em hijacking de sessões de câmbio e corretoras. Ativo em LATAM e Europa. - **[[s0266-trickbot|TrickBot]]** - Malware modular com módulo de browser injection; usado por grupos de ransomware para coleta de credenciais bancárias como estágio inicial. - **[[s0384-dridex|Dridex]]** - Banking trojan com capacidade avançada de web injection; utiliza técnica de man-in-the-browser para interceptar transações. - **[[s0484-carberp|Carberp]]** - Trojan bancário com rootkit; precursor de várias famílias modernas de trojans LATAM. - **[[s0331-agent-tesla|Agent Tesla]]** - RAT com módulo de captura de credenciais de browser; amplamente distribuído via phishing no Brasil. - **[[s1207-xloader|XLoader]]** - Stealer com capacidade de extração de cookies e sessões de múltiplos browsers. - **[[s0650-qakbot|QakBot]]** - Malware com módulo de browser hooking; utilizado como loader por grupos de ransomware. - **[[s0154-cobalt-strike|Cobalt Strike]]** - Framework de red team com módulo de browser pivoting; usado em operações APT avançadas como vetor de acesso a intranets. - **[[s1201-translatext|TRANSLATEXT]]** - Extensão maliciosa de browser atribuída ao [[g0094-kimsuky|Kimsuky]]; captura cookies e sessões de serviços de email e tradução. --- *Fonte: [MITRE ATT&CK - T1185](https://attack.mitre.org/techniques/T1185)*