Stealer -malware steelt niet langer alleen wachtwoorden. In 2025 steelt het live sessies – en aanvallers bewegen sneller en efficiënter dan ooit.
Hoewel veel geassocieerde accountovernames met persoonlijke diensten, ontvouwt de echte dreiging zich in de onderneming. Flare’s nieuwste onderzoek, de account- en sessie -overnameconomie, geanalyseerd over 20 miljoen stealer -logs en gevolgde aanvallersactiviteit via telegramkanalen en donkere webmarktplaces. De bevindingen stellen hoe cybercriminelen geïnfecteerde eindpunten van werknemers bewapenen om enterprise -sessies te kapen – vaak in minder dan 24 uur.
Hier is de echte tijdlijn van een moderne sessie die aanval kapt.
Infectie en gegevensdiefstal in minder dan een uur
Zodra een slachtoffer een kwaadwillende lading heeft – meestal vermomd als gebarsten software, nep -updates of phishing -bijlagen – nemen Stealers zoals Redline (44%van de stammen), wasbeer (25%) en Lummac2 (18%) over.
Deze malwarekits:
- Extraheer browserkoekjes, opgeslagen referenties, sessietokens en crypto -portefeuilles
- Binnen enkele minuten automatisch gegevens naar telegrambots of command-and-controlervers
- Voer meer dan 16 miljoen logboeken uit in slechts 10 telegramkanalen alleen, gesorteerd op sessietype, locatie en app
Session Tokens: de nieuwe valuta
Binnen enkele uren ziften cybercriminelen door gestolen gegevens, gericht op hoogwaardige sessietokens:
- 44% van de logboeken bevat Microsoft Session -gegevens
- 20% omvat Google Sessions
- Meer dan 5% stelt tokens bloot van AWS-, Azure- of GCP -cloudservices
Met behulp van telegram -botopdrachten filteren aanvallers logboeken op geografie, toepassing en privilege -niveau. Marktplaatsvermeldingen bevatten browser vingerafdrukgegevens en kant-en-klare inlogscripts die MFA omzeilen.
De prijzen voor gestolen sessies variëren sterk, waarbij consumentenaccounts doorgaans voor $ 5 tot $ 20 worden verkocht, terwijl AWS-niveau op bedrijfsniveau of Microsoft-sessies $ 1.200 of meer kunnen halen.
Volledige accounttoegang binnen enkele uren
Zodra sessie-tokens zijn gekocht, importeren aanvallers ze in anti-detectbrowsers en krijgen ze naadloze toegang tot bedrijfskritische platforms zonder MFA- of inlogmeldingen te activeren.
Dit gaat er niet om persoonlijke accounts die worden misbruikt. Het gaat over aanvallers die bedrijfsomgevingen infiltreren, waar ze snel zijn:
- Toegang tot zakelijke e -mail zoals Microsoft 365 of Gmail
- Voer interne tools in zoals Slack, Confluence of Admin Dashboards
- Exfiltrate -gevoelige gegevens van cloudplatforms
- Ransomware implementeren of lateraal over systemen bewegen
Flare analyseerde een enkel stealer-logboek met live, kant-en-klare toegang tot Gmail, Slack, Microsoft 365, Dropbox, AWS en PayPal-allemaal gebonden aan een enkele geïnfecteerde machine. In verkeerde handen kan dit niveau van sessietoegang binnen enkele uren in een ernstige inbreuk escaleren.
Waarom dit ertoe doet: de schaal van de dreiging
Dit is geen uitbijter. Het is een Massieve, geïndustrialiseerde ondergrondse markt Ransomware -bendes, fraudeurs en spionagegroepen mogelijk maken:
- Miljoenen geldige sessies worden wekelijks gestolen en verkocht
- Tokens blijven dagenlang actief, waardoor aanhoudende toegang toestaat
- Sessie kaping omzeilen MFA, waardoor veel organisaties blind worden voor inbreuken
Deze aanvallen zijn niet het gevolg van inbreuken bij Microsoft, Google, AWS of andere serviceproviders. In plaats daarvan komen ze voort uit individuele gebruikers die worden geïnfecteerd door Stealer -malware, die in stilte hun referenties en live sessietokens exfiltreert. Aanvallers exploiteren vervolgens deze toegang op gebruikersniveau om zich voor te doen aan werknemers, gegevens te stelen en escalerende privileges.
Volgens Verizon’s 2025 DBIR omvatte 88% van de inbreuken gestolen referenties, wat benadrukte hoe centrale op identiteit gebaseerde aanvallen zijn geworden.
Als u alleen op zoek bent naar gestolen wachtwoorden of mislukte inlogpogingen, mist u de grootste aanvalsvector.
Hoe u uw organisatie kunt verdedigen
Sessietokens zijn net zo kritisch als wachtwoorden en vereisen een nieuwe verdedigingsmindset:
- Revoke alle actieve sessies onmiddellijk na het compromis van het eindpunt; Wachtwoord gereset alleen stoppen niet van aanvallers
- Controleer het netwerkverkeer voor telegramdomeinen, een belangrijk exfiltratiekanaal
- Gebruik browser vingerafdrukken en anomaliedetectie om verdachte sessie te markeren gebruik van onbekende apparaten of locaties
Het aanpassen van verdedigingen aan deze nieuwe realiteit is essentieel voor het stoppen van snel bewegende dreigingsacteurs.
Duik dieper met flare
Ons volledige rapport behandelt:
- De meest voorkomende malwarefamilies die worden gebruikt bij aanvallen
- Gedetailleerde tokenprijzen per toegangstype
- Screenshots van telegrambots en marktplaatsvermeldingen
- Bruikbare aanbevelingen voor detectie en reactie
Verken onze uitgebreide gegevensset zelf door een gratis proefversie. Zoek miljoenen Stealer -logboeken, identificeer blootgestelde sessies en loop aanvallers voor.
Lees het volledige rapport | Start uw gratis proefperiode
Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Eric Clay, die ervaring heeft met governance, risico en compliance, beveiligingsgegevensanalyse en beveiligingsonderzoek. Hij fungeert momenteel als de CMO bij Flare, een SaaS -oplossing voor het beheer van dreigingen.
