À medida que as empresas continuam a migrar as suas operações críticas para ambientes baseados na web, o navegador consolidou-se como importante fronteira para a cibersegurança. Esta transição, no entanto, não passou despercebida pelos agentes maliciosos. Estatísticas recentes indicam que mais de 80% dos incidentes de segurança têm origem em aplicações web acessadas através de browsers como Chrome, Edge e Firefox.
No epicentro deste novo foco de ataques está um grupo particularmente avançado e furtivo: o Scattered Spider.
Scattered Spider e a sua evolução
Também conhecido pelas alcunhas de UNC3944, Octo Tempest ou Muddled Libra, o Scattered Spider distingue-se de grupos notórios como o Lazarus Group ou o Fancy Bear pela sua precisão e pelo seu modus operandi centrado no navegador. Ao contrário de campanhas de phishing de alto volume, este grupo privilegia a exploração precisa de ambientes do navegador.
A sua evolução ao longo dos últimos dois anos demonstra uma compreensão de que as informações mais sensíveis de uma organização, como credenciais, tokens de segurança e calendários, residem, com frequência, em abas abertas no browser. Se estes dados estão presentes no navegador, o Scattered Spider cria as ferramentas para os adquirir.
O sucesso do Scattered Spider reside numa cadeia de ataque sofisticada, concebida para explorar a confiança que os utilizadores depositam no seu navegador quotidiano. As suas táticas principais incluem:
- Truques de navegador: A técnica Browser-in-the-Browser (BitB) é um exemplo marcante. Os atacantes criam overlays falsos, janelas de login perfeitamente convincentes que se sobrepõem a sites legítimos, para roubar credenciais. A extração de dados de preenchimento automático (autofill) é outro método comum. Eles ainda possuem técnicas para evadir a detecção por ferramentas de segurança tradicionais como o EDR (Endpoint Detection and Response);
- Roubo de tokens de sessão: Ultrapassar a Autenticação Multi-Fator (MFA) é um dos objetivos primários. Ao capturar tokens de sessão e cookies pessoais diretamente da memória do navegador, os atacantes podem assumir o controle de sessões autenticadas sem necessidade de credenciais, tornando a MFA ineficaz;
- Extensões maliciosas e injeção de JavaScript: O ecossistema de extensões, com a Chrome Web Store abrigando mais de 130.000 add-ons, tornou-se um vetor de ataque. Extensões falsas ou mal documentadas podem solicitar permissões invasivas e injetar scripts maliciosos diretamente no runtime do navegador, servindo como cavalo de Troia para cargas de ataque;
- Reconhecimento baseado no navegador: Antes de lançar um ataque direto, o grupo realiza um reconhecimento minucioso do ambiente. Mediante APIs web como WebRTC e CORS, e da sondagem de extensões instaladas, os atacantes mapeiam sistemas internos críticos e comportamentos do utilizador, identificando o momento e o alvo perfeitos para atacar.
Planeje sua defesa
Para contra-atacar esta ameaça, é necessário que a equipe responsável de cada empresa eleve a segurança do navegador. Isto exige uma abordagem multicamada, utilizando estratégias como:
Proteja o runtime de scripts:
A defesa contra phishing avançado já não pode depender apenas de filtros de e-mail. É necessário implementar uma proteção em tempo de execução (runtime) que analise o comportamento de scripts JavaScript no próprio navegador. Esta camada pode identificar e bloquear overlays de phishing e padrões perigosos de extração de credenciais antes que estes sejam executados com sucesso.
Algumas sugestões são manter ativos os bloqueios a cookies de terceiros, a Prevenção de Rastreamento do Firefox / Enhanced Safe Browsing do Chrome e utilizar alguma extensão como o uBlock Origin no modo avançado, que permite ver e controlar conexões/script por origem em tempo real. Ainda melhor é, se possível, utilizar algum filtro, como um firewall avançado ou DNS diretamente no servidor da empresa.
Proteja as sessões:
A segurança deve estender-se para além do login. Para proteger a integridade das sessões, os mantenedores de plataformas digitais precisam aplicar políticas contextuais de segurança baseadas no estado do dispositivo, verificação de identidade contínua e confiança da rede. Ao vincular tokens de sessão a este contexto, é possível prevenir a sua utilização fraudulenta, mesmo que as credenciais tenham sido comprometidas.
Fiscalizar as extensões e bloquear Scripts não confiáveis:
Uma gestão robusta de extensões é não negociável. As empresas devem definir uma lista de extensões pré-aprovadas e validadas, impedindo a instalação de software não autorizado. Paralelamente, é importante bloquear a execução de scripts não confiáveis, garantindo que as extensões legítimas podem funcionar sem interromper o fluxo de trabalho do utilizador.
Interromper o ataque sem interromper o trabalho legítimo:
APIs web sensíveis podem ser desativadas ou substituídas por decoys que fornecem informações incorretas aos atacantes, perturbando as suas atividades de reconhecimento. Esta abordagem deve ser adaptativa, utilizando políticas granulares que não interfiram com aplicações de negócio legítimas, especialmente em ambientes BYOD (Bring Your Own Device).
Telemetria integrada:
O navegador é a última linha de defesa para ataques malware-less, e os seus dados são uma mina de ouro. Integrar registos de atividade do navegador em plataformas existentes como SIEM, SOAR e ITDR permite às equipas de SOC correlacionar eventos do browser com atividade de endpoint, acelerando drasticamente a resposta a incidentes e melhorando a caça a ameaças.
A implementação de uma estratégia de segurança nativa para o navegador traduz-se em vantagens mensuráveis, desde a prevenção de perda de dados e a proteção de acesso remoto a SaaS, até ao reforço de uma arquitetura de Confiança Zero.
O grupo Scattered Spider personifica a evolução tática do cibercrime. O navegador é o novo perímetro de identidade e a nova superfície de ataque crítica. Investir numa plataforma de segurança consciente do runtime e sem atrito já não é uma opção, mas uma necessidade fundamental para equipes de TI que pretendem proteger as suas organizações contra ameaças modernas. Mais do que mitigar um grupo específico, esta abordagem fortifica a janela para a empresa e atualiza a postura de segurança para toda a realidade do trabalho e das aplicações SaaS.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!
