# T1539 - Steal Web Session Cookie > [!info] Técnica MITRE ATT&CK > **Tática:** [[_credential-access|Credential Access]] | **ID:** T1539 | **Plataformas:** Windows, Linux, macOS, SaaS, Office Suite > **Técnicas relacionadas:** [[t1550-004-web-session-cookie|T1550.004 - Web Session Cookie]], [[t1557-adversary-in-the-middle|T1557 - AiTM]] ## Descrição Adversários podem roubar cookies de sessão de aplicações web ou serviços online para obter acesso autenticado sem precisar das credenciais do usuário. Essa técnica representa uma das formas mais eficazes de **bypass de autenticação multifator (MFA)**, pois os cookies de sessão são gerados após a autenticação bem-sucedida - incluindo a verificação do segundo fator - e representam uma prova de identidade já válidada pelo servidor. Aplicações web modernas e serviços SaaS utilizam cookies de sessão como tokens de autenticação após o login inicial. Esses cookies são frequentemente válidos por períodos prolongados - horas, dias, ou até semanas - mesmo quando o usuário não está ativamente usando a aplicação. Um adversário que obtém um cookie de sessão válido pode impersonar o usuário legítimo em todas as ações que esse cookie autoriza, sem necessidade de senha, código MFA, ou qualquer outra credencial. Os cookies de sessão podem ser encontrados em múltiplas localizações: - **Disco:** Armazenados localmente pelo navegador (Chrome, Firefox, Edge, Safari) em perfis de usuário - **Memória de processo:** Presentes na memória do navegador enquanto a sessão está ativa - **Tráfego de rede:** Transmitidos em headers HTTP durante requisições ao servidor - **Outras aplicações:** Ferramentas de desenvolvimento, clientes de API, e aplicações desktop que autenticam em serviços cloud A técnica é especialmente relevante no contexto atual de adoção massiva de serviços SaaS corporativos (Microsoft 365, Google Workspace, Salesforce, Slack) e plataformas cloud (AWS, Azure, GCP). Um único cookie de sessão roubado pode conceder acesso a e-mail corporativo, documentos confidenciais, ambientes de desenvolvimento, e sistemas financeiros - tudo sem acionar alertas de autenticação suspeita, pois a sessão já está "autenticada" do ponto de vista do servidor. Grupos como [[g1015-scattered-spider|Scattered Spider]], [[g1044-apt42|APT42]], [[g0094-kimsuky|Kimsuky]] e [[g0034-sandworm|Sandworm Team]] documentaram uso extensivo desta técnica em campanhas recentes, frequentemente combinada com ataques de [[t1557-adversary-in-the-middle|Adversary-in-the-Middle (AiTM)]] via frameworks como Evilginx2 e Muraena para interceptar cookies de sessão em tempo real durante o processo de autenticação da vítima. > [!warning] Bypass de MFA > Esta é uma das técnicas mais eficazes para **contornar MFA**. Quando um adversário rouba um cookie de sessão já autenticado, todos os fatores de autenticação - incluindo TOTP, SMS, chaves de segurança hardware - já foram válidados. O cookie representa a prova de que a autenticação completa ocorreu, e servidores o aceitam sem solicitar nova verificação. ## Como Funciona O roubo de cookies de sessão pode ser executado por diferentes vetores, cada um com características e impacto distintos: **Vetor 1 - Acesso Local ao Disco (Infostealer)** Navegadores modernos armazenam cookies em bancos de dados SQLite locais, geralmente protegidos por criptografia vinculada à conta do usuário (ex: DPAPI no Windows). Malwares do tipo **infostealer** (como [[s1240-redline-stealer|RedLine Stealer]], [[s1148-raccoon-stealer|Raccoon Stealer]], [[vidar|Vidar]]) são especializados em extrair e descriptografar esses cookies: - Chrome/Edge: `%LocalAppData%\Google\Chrome\User Data\Default\Network\Cookies` (SQLite + DPAPI) - Firefox: `%AppData%\Mozilla\Firefox\Profiles\*.default\cookies.sqlite` - macOS Safari: `~/Library/Cookies/Cookies.binarycookies` **Vetor 2 - Proxy AiTM (Adversary-in-the-Middle)** Frameworks como **Evilginx2**, **Muraena**, **Modlishka**, e **EvilGinx3** funcionam como proxies reversos que interceptam o processo de autenticação completo em tempo real. A vítima autentica no serviço legítimo, mas através do proxy do adversário, que captura o cookie de sessão resultante antes de repassá-lo ao usuário. Essa abordagem é extremamente eficaz contra qualquer forma de MFA baseada em tempo (TOTP) ou SMS. **Vetor 3 - Injeção de JavaScript (XSS)** Adversários podem injetar código JavaScript malicioso em páginas web para capturar cookies via `document.cookie`. Essa abordagem é limitada por cookies marcados com `HttpOnly` (que não são acessíveis via JavaScript), mas ainda funciona contra cookies sem essa flag. [[t1059-007-javascript|Cross-Site Scripting (XSS)]] em aplicações corporativas é o vetor típico. **Vetor 4 - Malware com Acesso à Memória do Navegador** Alguns malwares mais sofisticados como [[s0531-grandoreiro|Grandoreiro]] e [[s0631-chaes|Chaes]] - ambos com forte presença no Brasil - acessam diretamente a memória do processo do navegador para extrair cookies descriptografados em tempo de execução, contornando proteções de disco. **Vetor 5 - Roubo via Extensões de Navegador Maliciosas** Extensões maliciosas de navegador têm acesso completo às cookies de todos os sites (dependendo das permissões solicitadas). O [[s1201-translatext|TRANSLATEXT]] é um exemplo documentado de extensão Chrome maliciosa que rouba cookies de sessão de múltiplos serviços. **Uso dos Cookies Roubados** Após a obtenção do cookie, o adversário utiliza a técnica [[t1550-004-web-session-cookie|T1550.004 - Web Session Cookie]] para importar o cookie no seu navegador e acessar a sessão como o usuário legítimo. Ferramentas como Cookie-Editor (extensão de navegador), Burp Suite, ou scripts Python com a biblioteca `requests` facilitam esse processo. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Phishing / Drive-by / MalAdv"] --> B{"Vetor de Roubo"} B --> C["💾 Infostealer<br/>RedLine / Raccoon / Vidar"] B --> D["🔀 Proxy AiTM<br/>Evilginx2 / Muraena"] B --> E["📜 XSS / JavaScript<br/>Injeção em Página Web"] B --> F["🧩 Extensão Maliciosa<br/>Browser Extension"] C --> G["🗄️ Leitura de Banco SQLite<br/>Chrome / Firefox Cookies DB"] D --> H["👁️ Interceptação em Tempo Real<br/>Cookies capturados no fluxo"] E --> I["📤 document.cookie Exfiltrado<br/>via Beacon/Fetch para C2"] F --> J["🔍 API de Extensão<br/>chrome.cookies.getAll()"] G --> K["🔑 Cookie de Sessão Obtido<br/>Válido e Autenticado"] H --> K I --> K J --> K K --> L["📡 Exfiltração para C2<br/>HTTP / Telegram / Discord"] L --> M["🌐 Import no Navegador<br/>T1550.004 - Web Session Cookie"] M --> N["✅ Acesso Autenticado<br/>Sem senha / Sem MFA"] N --> O["📧 Acesso a Email / M365<br/>Exfiltração de dados"] N --> P["☁️ Acesso a Cloud / SaaS<br/>AWS / GCP / Salesforce"] N --> Q["🔄 Movimento Lateral<br/>SSO Chain - múltiplos serviços"] style A fill:#ff6b6b,color:#fff style K fill:#ee5a24,color:#fff style N fill:#c0392b,color:#fff style Q fill:#8e1c1c,color:#fff ``` ## Exemplos de Uso **Scattered Spider - Campanhas de 2023-2024** O grupo [[g1015-scattered-spider|Scattered Spider]] (UNC3944) demonstrou sofisticação excepcional no uso desta técnica em ataques contra empresas de telecomúnicações e cassinos nos EUA (MGM Resorts, Caesars Entertainment). O grupo utilizou ataques AiTM combinados com [[t1566-spearphishing-voice|vishing]] para enganar equipes de suporte de TI e obter cookies de sessão de portais administrativos corporativos, contornando MFA de Okta e Microsoft Entra ID. **APT42 - Espionagem com Foco em Ativistas e Jornalistas** O [[g1044-apt42|APT42]], grupo iraniano vinculado ao IRGC, foi documentado pelo Google TAG utilizando campanhas de phishing sofisticadas para roubar cookies de sessão de Gmail, Microsoft 365, e outras plataformas de e-mail. O relatório do Mandiant detalha o uso de Evilginx2 para capturar cookies em tempo real durante autenticação de alvos de alto valor incluindo jornalistas, diplomatas, e pesquisadores. **Kimsuky - Espionagem Norte-Coreana** O [[g0094-kimsuky|Kimsuky]] (também conhecido como Thallium, APT43) utilizou extensões Chrome maliciosas para roubar cookies de sessão de webmail de pesquisadores de política e think tanks sul-coreanos e americanos. A abordagem via extensão é elegante pois não requer escalada de privilégio - apenas convencer a vítima a instalar a extensão. **Grandoreiro e Chaes - Ameaças com Foco no Brasil** O [[s0531-grandoreiro|Grandoreiro]] e o [[s0631-chaes|Chaes]] são dois dos malwares mais prolíficos direcionados ao Brasil que incluem capacidade de roubo de cookies. O Chaes em particular foi documentado pela Avast e Cybereason com módulos especializados em roubos de cookies de sites bancários brasileiros (itaú, Bradesco, Mercado Livre) e de plataformas de entrega (iFood). O Grandoreiro, embora focado em banking, acessa cookies de sessão de navegadores para complementar o roubo de credenciais financeiras. **Star Blizzard - Operações Russas de Influência** O [[g1033-star-blizzard|Star Blizzard]] (SEABORGIUM, TA446) conduziu campanhas direcionadas contra organizações de defesa da OTAN, ONGs, e jornalistas utilizando phishing com proxy AiTM para capturar cookies de Microsoft 365. A operação foi documentada pela Microsoft e pelo NCSC britânico, destacando o uso de serviços de marketing legítimos como infraestrutura de redirect para dificultar detecção. > [!example] Cenário de Ataque Corporativo Típico > 1. Funcionário recebe e-mail de "aviso de segurança" da Microsoft ([[t1566-phishing|phishing]]) > 2. Clica em link que aponta para domínio similar: `microsoftonllne.com` > 3. Proxy Evilginx2 redireciona para login real da Microsoft > 4. Funcionário autentica normalmente, incluindo MFA via Authenticator > 5. Cookie de sessão M365 capturado em tempo real pelo proxy > 6. Adversário importa cookie e acessa Exchange, Teams, SharePoint > 7. Exfiltração de e-mails e documentos confidenciais por semanas ## Detecção A detecção de roubo de cookies de sessão é desafiadora porque o acesso com cookie roubado parece legítimo para o servidor - o token é válido, a sessão foi devidamente autenticada. A detecção deve focar em **anomalias comportamentais de sessão** e **sinais de infostealer**. **Indicadores de Uso de Cookie Roubado:** - Mesmo session token acessado de múltiplos IPs em curto período - Mudança brusca de geolocalização na mesma sessão (ex: Brasil → Rússia em minutos) - Acesso de novo User-Agent com mesmo session token - Volume anormal de download/acesso a dados em sessão existente - Acesso a aplicações incomuns com token normalmente usado apenas em uma aplicação **Indicadores de Infostealer (lado do cliente):** - Processo lendo arquivos SQLite de perfil do navegador - Processo acessando DPAPI para descriptografia - Processo filho de `chrome.exe` ou `firefox.exe` com comportamento de rede suspeito - Criação de arquivos zip contendo `Cookies` em diretórios temporários **Regra Sigma - Leitura do Banco de Cookies do Chrome:** ```yaml title: Browser Cookie Database Access by Suspicious Process status: experimental description: Detecta processos não-browser lendo o banco de dados de cookies do Chrome/Edge para possível roubo de sessões logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - '\Google\Chrome\User Data\' - '\Microsoft\Edge\User Data\' - '\Mozilla\Firefox\Profiles\' TargetFilename|endswith: - '\Cookies' - '\cookies.sqlite' filter_browser: Image|endswith: - '\chrome.exe' - '\msedge.exe' - '\firefox.exe' - '\browser_broker.exe' filter_security: Image|endswith: - '\MsMpEng.exe' - '\SentinelAgent.exe' condition: selection and not filter_browser and not filter_security level: high tags: - attack.credential_access - attack.t1539 falsepositives: - Ferramentas de backup de perfil do navegador - Software de gerenciamento de senhas legítimo - Ferramentas de auditoria de segurança ``` **Regra Sigma - Sessão Web com Múltiplos IPs (SIEM/IdP):** ```yaml title: Web Session Used from Multiple Source IPs status: experimental description: Detecta o mesmo token de sessão sendo utilizado de múltiplos endereços IP - indicador de cookie roubado logsource: category: application product: webserver detection: selection: EventType: 'session_access' condition: | count(SourceIP) by SessionToken > 1 within 5 minutes level: high tags: - attack.credential_access - attack.lateral_movement - attack.t1539 ``` **Fontes de dados recomendadas:** - Identity Provider logs (Azure AD, Okta, Google Workspace Admin) - anomalias de sessão - Browser endpoint telemetry via EDR (Cortex XDR, CrowdStrike Falcon) - CASB (Cloud Access Security Broker) para anomalias de acesso SaaS - Network monitoring para exfiltração de cookie databases - Web Application Firewall (WAF) com detecção de session hijacking ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente as sessões ativas em serviços críticos (M365, Google Workspace, Okta). Revogar sessões suspeitas imediatamente. Implementar monitoramento de sessões simultâneas de múltiplas localizações. | | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar cookies com flags `HttpOnly` (bloqueia acesso via JavaScript), `Secure` (apenas HTTPS), e `SameSite=Strict` (bloqueia CSRF). Implementar políticas de expiração curta para cookies de sessão de aplicações críticas. | | M1021 | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear acesso a serviços de proxy AiTM conhecidos e domínios de phishing via Secure Web Gateway. Implementar DNS filtering para categorias de phishing. Restringir instalação de extensões de navegador não aprovadas via política corporativa. | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Adotar MFA resistente a phishing: **FIDO2/WebAuthn** (chaves de segurança hardware como YubiKey) é a única forma de MFA que resiste a ataques AiTM, pois vincula o desafio criptográfico ao domínio legítimo. TOTP e SMS são vulneráveis a AiTM. | | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter navegadores e sistemas operacionais atualizados. Vulnerabilidades em navegadores podem facilitar acesso ao banco de dados de cookies sem precisar de DPAPI. | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para verificar URLs com aténção especial à barra de endereços antes de inserir credenciais. Phishing AiTM usa domínios muito similares ao legítimo. Simular ataques de phishing regularmente para manter a consciência. | **Controles adicionais de alta eficácia:** - **Conditional Access com Continuous Access Evaluation (CAE):** No Microsoft Entra ID, permite revogar sessões em tempo real com base em sinais de risco, mesmo com cookies válidos - **Device compliance em Conditional Access:** Restringir acesso a dispositivos gerenciados e em conformidade - cookies roubados usados em dispositivos não-gerenciados serão bloqueados - **Session Binding:** Vincular cookies a propriedades do dispositivo (IP, fingerprint) para inválidar cookies usados de contextos diferentes - Implementar **Chrome Enterprise Policies** para bloquear instalação de extensões não aprovadas ## Threat Actors que Usam - [[g1014-luminousmoth|LuminousMoth]] - Espionagem na Ásia/SEA - [[g0094-kimsuky|Kimsuky]] - Espionagem norte-coreana, extensões Chrome maliciosas - [[g0034-sandworm|Sandworm Team]] - APT russo (GRU), sabotagem e espionagem - [[g1015-scattered-spider|Scattered Spider]] - Engenharia social + AiTM contra corporações - [[g0120-evilnum|Evilnum]] - Ataques a fintechs europeias - [[g1033-star-blizzard|Star Blizzard]] - Operações russas de influência e espionagem - [[g0030-raspberry-typhoon|Lotus Blossom]] - Espionagem chinesa na Ásia - [[g1044-apt42|APT42]] - IRGC iraniano, jornalistas e ativistas ## Software Associado - [[s0531-grandoreiro|Grandoreiro]] (malware) - Banking trojan brasileiro com roubo de cookies - [[s1207-xloader|XLoader]] (malware) - Infostealer multiplataforma - [[cookieminer|CookieMiner]] (malware) - Especializado em cookies de exchanges de criptomoedas - [[s1140-spica|Spica]] (malware) - Backdoor russo com capacidade de roubo de cookies - [[s0650-qakbot|QakBot]] (malware) - Trojan bancário com módulo de roubo de credenciais web - [[g0120-evilnum|EVILNUM]] (malware) - Infostealer focado em fintechs - [[s1201-translatext|TRANSLATEXT]] (malware) - Extensão Chrome maliciosa de origem norte-coreana - [[s0631-chaes|Chaes]] (malware) - Malware brasileiro com módulos de roubo de cookies bancários - [[s0657-bluelight|BLUELIGHT]] (malware) - RAT norte-coreano com capacidade de roubo de cookies - [[s1240-redline-stealer|RedLine Stealer]] (malware) - Infostealer massivamente distribuído como MaaS ## Contexto Brasil/LATAM > [!warning] Alta Relevância para o Brasil > O Brasil é um dos principais alvos globais de infostealers e trojans bancários que incluem roubo de cookies como funcionalidade. A combinação de alto volume de transações financeiras online, adoção crescente de serviços SaaS corporativos, e ecossistema local de ameaças torna T1539 uma das técnicas mais críticas a monitorar no contexto brasileiro. **Ameaças Nativas Brasileiras e LATAM** O Brasil possui um dos ecossistemas de malware financeiro mais desenvolvidos do mundo. Malwares como [[s0531-grandoreiro|Grandoreiro]], [[s0631-chaes|Chaes]], [[mekotio|Mekotio]], e [[guildma|Guildma]] (família Tetrade documentada pela Kaspersky) foram desenvolvidos por grupos brasileiros e distribuídos globalmente, todos com capacidade de roubo de cookies de sessão bancária e e-commerce. O [[s0631-chaes|Chaes]] é particularmente notável por seu foco específico no mercado brasileiro: inclui módulos dedicados a roubar cookies de sessão de plataformas bancárias brasileiras (Itaú, Bradesco, Banco do Brasil, Nubank), de e-commerce (Mercado Livre, Amazon.br), e de delivery (iFood, Rappi). A Avast identificou campanhas do Chaes comprometendo mais de 800 sites WordPress no Brasil para distribuição. **Impacto no Setor Financeiro Brasileiro** O sistema financeiro brasileiro é um dos mais digitalizados do mundo, com o PIX processando mais de 4 bilhões de transações mensais. Roubo de cookies de sessão de aplicativos bancários web representa um vetor direto para fraude financeira. Grupos de [[t1583-acquire-infrastructure|threat actors]] financeiramente motivados exploram ativamente essa superfície de ataque. **Adoção Corporativa de SaaS como Superfície de Ataque** O Brasil é o maior mercado de SaaS da América Latina, com alto uso de Microsoft 365, Google Workspace, Salesforce, e SAP. Campanhas de phishing AiTM direcionadas a executivos e gestores financeiros de empresas brasileiras têm como objetivo primário o roubo de cookies de sessão M365 para acesso a e-mail e dados corporativos - habilitando [[t1534-internal-spearphishing|Business Email Compromise (BEC)]] e fraude de pagamento. **CERT.br e Tendências Documentadas** O [[cert-br|CERT.br]] consistentemente reporta phishing como o vetor de incidente mais comum no Brasil, com foco crescente em serviços em nuvem. O padrão de ataques evoluiu de phishing de credenciais simples para phishing AiTM que captura cookies pós-MFA, refletindo a maior adoção de MFA por organizações brasileiras e a necessidade dos atacantes de contornar essa proteção. **Regulamentação e LGPD** Roubo de cookies de sessão que resulte em acesso não autorizado a dados pessoais configura violação à LGPD. Organizações brasileiras são obrigadas a notificar a ANPD em até 72 horas após ciência de incidente de segurança com potencial risco a titulares. A capacidade de detectar sessões comprometidas via cookie theft é, portanto, também um requisito de conformidade regulatória. ## Referências - [MITRE ATT&CK - T1539](https://attack.mitre.org/techniques/T1539) - [[t1550-004-web-session-cookie|T1550.004 - Web Session Cookie]] - Uso dos cookies roubados - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - Técnica complementar para captura AiTM - [[m1032-multi-factor-authentication|M1032 - Multi-factor Authentication]] - [[m1054-software-configuration|M1054 - Software Configuration]] - [[m1047-audit|M1047 - Audit]] - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - [[m1017-user-training|M1017 - User Training]] - [[s0531-grandoreiro|Grandoreiro]] - Malware brasileiro com roubo de cookies - [[s0631-chaes|Chaes]] - Malware LATAM especializado em cookies bancários brasileiros - [[g1015-scattered-spider|Scattered Spider]] - Uso documentado de AiTM cookie theft - [[g1044-apt42|APT42]] - Campanhas com Evilginx2 contra targets de alto valor - [Google TAG - Evilginx2 e ataques AiTM](https://blog.google/threat-analysis-group/) - [Microsoft - Adversary-in-the-Middle phishing attacks](https://www.microsoft.com/en-us/security/blog/) --- *Fonte: [MITRE ATT&CK - T1539](https://attack.mitre.org/techniques/T1539) | Versão: 16.2*