O Google lançou nesta semana o Device Bound Session Credentials (DBSC) no Chrome 146 para Windows, mecanismo que torna cookies de sessão inutilizáveis fora do dispositivo onde foram criados.

A proteção para mac OS está prevista para uma versão futura do navegador.

Em termos simples, quando você faz login em um site, o servidor cria um cookie de sessão.

Basicamente, trata-se de um token de autenticação armazenado no navegador que prova para o servidor que você é você, sem que o site precise pedir sua senha a cada acesso.

Esses cookies costumam ter validade longa, às vezes de dias e até semanas.

Um atacante que consiga copiar esse arquivo não precisa da sua senha.

Ele apresenta o cookie diretamente ao servidor e é autenticado no seu lugar.

Malwares especializados nesse tipo de coleta são chamados de infostealers.

O Lumma C2 é um dos exemplos mais ativos atualmente, e os acessos obtidos costumam ser comercializados em fóruns criminosos ou revendidos entre grupos de ameaças.

Uma vez que um malware está ativo na máquina, ele tem acesso aos mesmos arquivos que o sistema operacional usa, incluindo onde o navegador guarda os cookies.

Não existe forma de impedir essa leitura usando apenas proteções de software, em nenhum sistema operacional.