AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Consejos

**El robo de sesiones y tokens de autenticación supera al de contraseñas: el caso REMUS infostealer**

admin

### Introducción

El panorama de las amenazas cibernéticas está experimentando un cambio significativo: los actores maliciosos priorizan cada vez más el robo de sesiones de navegador y tokens de autenticación frente a la sustracción tradicional de contraseñas. Este cambio estratégico se debe a que los tokens y sesiones robadas permiten eludir mecanismos de autenticación multifactor (MFA) y facilitan accesos laterales en entornos corporativos. El infostealer REMUS, analizado recientemente por Flare, representa una evolución paradigmática en este tipo de ataques, mostrando técnicas avanzadas de robo de sesiones y una notable escalabilidad operativa.

### Contexto del Incidente o Vulnerabilidad

Históricamente, los infostealers como RedLine, Racoon o Vidar se han especializado en la recolección masiva de credenciales. Sin embargo, la generalización de políticas de MFA y la mejora en la gestión de contraseñas han reducido la eficacia de estos ataques. Ante este escenario, los atacantes han centrado sus esfuerzos en el robo de tokens de sesión y cookies persistentes, elementos que permiten la suplantación directa de usuarios legítimos, incluso en entornos protegidos por autenticación robusta.

REMUS se distingue por su enfoque directo sobre estos artefactos y la optimización de sus capacidades para operar en campañas a gran escala, facilitando la exfiltración y monetización de sesiones activas en plataformas clave, como servicios cloud, aplicaciones empresariales (Microsoft 365, Google Workspace) y cuentas de banca online.

### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

REMUS es un infostealer modular, escrito en C++, que emplea técnicas de evasión y persistencia avanzadas. No está asociado a una vulnerabilidad CVE concreta, sino que aprovecha el acceso inicial obtenido mediante phishing, malvertising o carga en sitios comprometidos.

**Vectores de ataque predominantes:**
– Descarga de ejecutables maliciosos disfrazados de instaladores legítimos (por ejemplo, software crackeado o actualizaciones falsas).
– Campañas de phishing con archivos adjuntos o enlaces a sitios de descarga comprometidos.
– Distribución a través de loaders automáticos, como SmokeLoader o PrivateLoader.

**TTPs (MITRE ATT&CK):**
– **Initial Access (T1566):** Phishing, malvertising.
– **Credential Access (T1555):** Dumping de cookies, tokens JWT, y archivos de sesión de navegadores (Chrome, Edge, Firefox).
– **Defense Evasion (T1027):** Obfuscación del binario y uso de packers.
– **Exfiltration (T1041):** Envío cifrado de artefactos robados vía HTTP[S] POST a infraestructura C2 dinámica.

**Indicadores de Compromiso (IoC):**
– Proceso sospechoso ejecutándose desde rutas temporales o de usuario.
– Comunicación saliente a dominios C2 asociados a REMUS (listas actualizadas en los feeds de Flare).
– Modificación o acceso masivo a archivos “Cookies”, “Local Storage” y “Session Storage” de los navegadores soportados.

### Impacto y Riesgos

El impacto de REMUS y de técnicas similares es significativo:
– **Elusión de MFA:** con tokens y sesiones activas, el atacante puede saltarse el segundo factor de autenticación.
– **Persistencia:** la sesión robada puede permanecer válida durante horas o días, dependiendo de las políticas de expiración.
– **Escalada lateral:** acceso a servicios cloud, VPNs, CRMs, y sistemas internos.
– **Enfoque en grandes volúmenes:** REMUS permite a los operadores procesar y clasificar automáticamente miles de sesiones robadas, priorizando las de mayor valor (por ejemplo, cuentas corporativas de administradores en Microsoft 365).
– **Monetización directa:** venta de accesos en mercados underground, ataques de ransomware dirigidos y campañas de extorsión.

Según Flare, más del 60% de los lotes de datos robados por REMUS contienen tokens de autenticación válidos para servicios empresariales y cerca del 40% de las organizaciones afectadas experimentan accesos no autorizados tras el robo, con pérdidas económicas que pueden superar los 500.000 euros por incidente, especialmente en sectores financiero y tecnológico.

### Medidas de Mitigación y Recomendaciones

Para contrarrestar el riesgo asociado a infostealers orientados al robo de sesiones, se recomienda:

– **Monitorización de accesos sospechosos:** implementar alertas ante logins anómalos, especialmente desde ubicaciones o dispositivos no habituales.
– **Reforzar la caducidad de tokens:** reducir la vida útil de las sesiones y forzar su renovación periódica.
– **Revocación automatizada:** integrar mecanismos de revocación de tokens y cookies ante la detección de actividad sospechosa.
– **Estrategias de hardening en endpoints:** bloquear la ejecución de binarios no firmados y restringir la instalación de software externo.
– **Formación a usuarios:** concienciar sobre los riesgos de descargar software no verificado y el peligro del phishing.
– **Revisión periódica de logs:** analizar logs de autenticación y uso de sesiones en plataformas críticas.

### Opinión de Expertos

Especialistas de Flare y analistas independientes coinciden en que la tendencia al robo de sesiones continuará creciendo en 2024, especialmente ante la adopción masiva de MFA y Zero Trust. “La industria debe evolucionar hacia modelos de gestión de sesión y autenticación basados en riesgo y contexto, no solo en credenciales estáticas”, afirma Olivier Bilodeau, director de investigación en Flare. Además, recomiendan a los equipos SOC y de respuesta a incidentes ampliar sus playbooks para incluir la revocación inmediata de sesiones y tokens comprometidos.

### Implicaciones para Empresas y Usuarios

Las empresas enfrentan una amenaza creciente que pone en jaque las inversiones en autenticación avanzada. Un robo de sesión puede exponer información sensible, facilitar movimientos laterales y abrir la puerta a ataques de ransomware o exfiltración masiva de datos, con implicaciones directas para cumplir con legislaciones como el GDPR o la inminente NIS2. Los usuarios finales, por su parte, deben extremar la precaución ante descargas y correos sospechosos, ya que su sesión puede convertirse en la llave de acceso a la red corporativa.

### Conclusiones

REMUS ejemplifica la nueva generación de infostealers: flexibles, escalables y centrados en la explotación post-autenticación. La industria debe adaptar sus defensas y procesos de respuesta, priorizando la detección y revocación de sesiones comprometidas y el endurecimiento de los mecanismos de gestión de tokens. Solo así se podrá contener una amenaza que, lejos de ser residual, está llamada a protagonizar los mayores incidentes de ciberseguridad de los próximos años.

(Fuente: www.bleepingcomputer.com)