Furto Cookie Web: Steal Web Session Cookie (T1539)

Per replicare efficacemente il furto di cookie in ambiente controllato, è fondamentale comprendere dove i browser memorizzano questi preziosi token. Su Windows, Chrome conserva i cookie nel database SQLite ubicato in %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cookies.

L'estrazione diretta richiede che il browser sia chiuso o che si lavori su una copia shadow del file. Un approccio comune prevede l'utilizzo di PowerShell per copiare l'intero profilo:

Copy-Item -Path "$env:LOCALAPPDATA\Google\Chrome\User Data" -Destination "C:\Temp\ChromeProfile" -Recurse

Su sistemi Linux, i percorsi cambiano ma il concetto rimane identico. Firefox memorizza i cookie in ~/.mozilla/firefox/.default/cookies.sqlite*, accessibile con comandi standard:

cp -r ~/.mozilla/firefox/.default /tmp/firefox_profile*

L'approccio più sofisticato prevede l'estrazione dei cookie dalla memoria del processo browser attivo. Tool come mimikatz su Windows permettono di estrarre token direttamente dalla memoria con sekurlsa::minidump chrome.dmp.

Framework specializzati come Evilginx2 e Muraena automatizzano l'intero processo attraverso proxy malevoli. Questi strumenti intercettano il traffico durante l'autenticazione legittima, catturando cookie validi che possono essere riutilizzati immediatamente.

Su macOS, il malware XCSSET dimostra l'approccio pratico utilizzando scp per accedere a ~/Library/Cookies/Cookies.binarycookies. Questo file binario richiede parsing specifico ma contiene cookie di sistema validi per Safari.

La detection efficace del furto di cookie richiede un approccio multi-livello che monitora accessi anomali a file e processi specifici. Su Windows, Sysmon EventID 10 cattura accessi cross-process che potrebbero indicare tentativi di lettura della memoria dei browser.

Configurare alert per accessi non autorizzati ai percorsi cookie critici rappresenta la prima linea di difesa. Pattern da monitorare includono processi non-browser che accedono a %APPDATA%\Mozilla\Firefox\Profiles*.default\cookies.sqlite o simili percorsi Chrome/Edge.

L'analisi comportamentale diventa cruciale quando si osservano pattern di accesso multipli in breve tempo. Se un processo accede sequenzialmente a cookie store di browser diversi, l'alert dovrebbe scattare con priorità elevata. EventCode 4663 in Windows Security log traccia questi accessi quando l'auditing è configurato correttamente.

Per Linux, auditd con regole mirate sui percorsi cookie fornisce visibilità equivalente. Una regola esempio monitora: -w /home//.mozilla/firefox -p r -k browser_cookie_access*. Questo genera eventi per qualsiasi lettura nelle directory Firefox degli utenti.

L'aspetto più critico riguarda il rilevamento dell'uso di cookie rubati. Monitorare "impossible travel" - login da geolocalizzazioni distanti in tempi impossibili - spesso rivela l'uso di token compromessi. User agent anomali associati allo stesso cookie rappresentano un altro indicatore affidabile.

I falsi positivi derivano principalmente da software di backup legittimo o tool di migrazione profili. Whitelisting basato su hash dei processi autorizzati riduce significativamente il rumore mantenendo l'efficacia della detection.

L'analisi forense del furto di cookie richiede attenzione ai dettagli temporali e agli artefatti lasciati durante l'esfiltrazione. Su Windows, il Prefetch fornisce evidenze di esecuzione di tool sospetti che potrebbero aver acceduto ai cookie store.

L'USN Journal registra modifiche ai file cookie, permettendo di ricostruire quando sono stati acceduti o copiati. Correlando timestamp USN con eventi di rete si può identificare l'esatta finestra temporale dell'esfiltrazione.

Browser forensics richiede l'esame di multiple location. Chrome memorizza history, downloads e cookie in database SQLite separati ma correlati temporalmente. L'analisi congiunta rivela pattern di navigazione anomali post-compromissione.

La ricostruzione della timeline beneficia enormemente dall'analisi dei Volume Shadow Copy. Confrontare versioni storiche dei cookie database può rivelare esattamente quali token sono stati compromessi e quando.

Su sistemi Linux, l'analisi di .bash_history spesso rivela comandi utilizzati per copiare profili browser. I timestamp dei file in /tmp possono indicare staging location temporanee utilizzate prima dell'esfiltrazione.

L'evidenza di rete completa il quadro forense. PCAP analysis può mostrare upload di file compressi contenenti profili browser verso C2 infrastructure. La correlazione temporale tra accesso locale e trasferimento di rete conferma il vettore di esfiltrazione.

Sandworm Team rappresenta uno degli attori più sofisticati nell'utilizzo di questa tecnica. Il gruppo russo integra il furto di cookie nelle campagne di spionaggio persistente, mirando principalmente a organizzazioni governative e infrastrutture critiche nell'Europa orientale.

Kimsuky, attribuito alla Corea del Nord, utilizza il malware TRANSLATEXT specificatamente progettato per rubare cookie da piattaforme coreane come Naver e Daum. Questo targeting geografico specifico rivela l'interesse del gruppo per informazioni regionali.

Scattered Spider adotta un approccio differente, utilizzando Raccoon Stealer in campagne financially-motivated. Il gruppo mira a credenziali bancarie e wallet cryptocurrency, monetizzando rapidamente i cookie rubati attraverso underground market.

Star Blizzard (precedentemente SEABORGIUM) dimostra l'evoluzione tattica utilizzando EvilGinx per phishing real-time. Questo approccio proxy-based permette di catturare cookie anche con MFA abilitato, rappresentando una significativa escalation nelle capacità offensive.

L'overlap negli strumenti utilizzati suggerisce condivisione di risorse nell'underground criminale. QakBot, RedLine Stealer e Lumma Stealer appaiono in arsenal di gruppi diversi, indicando un ecosistema maturo di malware-as-a-service.

I trend emergenti mostrano crescente sofisticazione nel targeting di browser meno comuni come Naver Whale, suggerendo adattamento alle preferenze regionali. L'integrazione con tecniche di initial access tramite supply chain, come dimostrato in SolarWinds, indica evoluzione verso attacchi multi-stadio complessi.

Framework MITRE ATT&CK T1539 documenta questa tecnica con riferimenti a 8 gruppi APT e 16 malware families. La campagna SolarWinds Compromise (C0024) fornisce case study dettagliato dell'uso enterprise-scale. Risorse di detection includono Sigma rules per Sysmon e specifiche auditd per ambienti Linux.