Malware Stealer tidak lagi hanya mencuri kata sandi. Pada tahun 2025, ia mencuri sesi hidup – dan penyerang bergerak lebih cepat dan lebih efisien dari sebelumnya.
Sementara banyak pengambilalihan akun rekanan dengan layanan pribadi, ancaman nyata sedang berlangsung di perusahaan. Penelitian terbaru Flare, Ekonomi Pengambilalihan Akun dan Sesi, dianalisis 20 juta log pencuri dan aktivitas penyerang yang dilacak di seluruh saluran telegram dan pasar web gelap. Temuan ini mengekspos bagaimana penjahat cyber mempersenjatai titik akhir yang terinfeksi untuk membajak sesi perusahaan – sering dalam waktu kurang dari 24 jam.
Inilah garis waktu nyata dari serangan pembajakan sesi modern.
Infeksi dan pencurian data dalam waktu kurang dari satu jam
Setelah seorang korban menjalankan muatan berbahaya – biasanya menyamar sebagai perangkat lunak yang retak, pembaruan palsu, atau lampiran phishing – pencuri komoditas seperti redline (44%log), rakun (25%), dan Lummac2 (18%) mengambil alih.
Kit malware ini:
- Ekstrak cookie browser, kredensial menyimpan, token sesi, dan dompet crypto
- Secara otomatis eksfiltrat data ke bot telegram atau server perintah-dan-kontrol dalam hitungan menit
- Umpan lebih dari 16 juta log menjadi hanya 10 saluran telegram saja, diurutkan berdasarkan jenis sesi, lokasi, dan aplikasi
Token Sesi: Mata Uang Baru
Dalam beberapa jam, penjahat cyber menyaring data curian, berfokus pada token sesi bernilai tinggi:
- 44% log berisi data sesi Microsoft
- 20% termasuk Google Sesi
- Lebih dari 5% mengekspos token dari AWS, Azure, atau GCP Cloud Services
Menggunakan perintah telegram bot, penyerang filter log berdasarkan geografi, aplikasi, dan tingkat hak istimewa. Daftar Marketplace termasuk data sidik jari browser dan skrip login siap pakai yang memotong MFA.
Harga untuk sesi curian sangat bervariasi, dengan akun konsumen biasanya dijual seharga $ 5 hingga $ 20, sedangkan AWS tingkat perusahaan atau sesi Microsoft dapat menghasilkan $ 1.200 atau lebih.
Akses akun lengkap dalam beberapa jam
Setelah token sesi dibeli, penyerang mengimpornya ke browser anti-deteksi, mendapatkan akses tanpa batas ke platform bisnis-kritis tanpa memicu MFA atau peringatan login.
Ini bukan tentang akun pribadi yang disalahgunakan. Ini tentang penyerang yang menyusup ke lingkungan perusahaan, di mana mereka dengan cepat:
- Akses email bisnis seperti Microsoft 365 atau Gmail
- Masukkan alat internal seperti slack, confluence, atau dasbor admin
- Exfiltrate data sensitif dari platform cloud
- Menggunakan ransomware atau bergerak secara lateral melintasi sistem
Flare menganalisis log pencuri tunggal yang mencakup akses langsung, siap pakai ke Gmail, Slack, Microsoft 365, Dropbox, AWS, dan PayPal-semuanya terikat dengan mesin yang terinfeksi tunggal. Di tangan yang salah, tingkat akses sesi ini dapat meningkat menjadi pelanggaran serius dalam beberapa jam.
Mengapa Ini Penting: Skala Ancaman
Ini bukan outlier. Itu adalah Pasar Bawah Tanah Besar dan Industrial Mengaktifkan geng ransomware, penipu, dan kelompok spionase:
- Jutaan sesi yang valid dicuri dan dijual setiap minggu
- Token tetap aktif selama berhari -hari, memungkinkan akses persisten
- Sesi Pembajakan Bypasses MFA, membuat banyak organisasi buta terhadap pelanggaran
Serangan -serangan ini tidak dihasilkan dari pelanggaran di Microsoft, Google, AWS, atau penyedia layanan lainnya. Sebaliknya, mereka berasal dari pengguna individu yang terinfeksi oleh pencuri malware, yang diam -diam mengeluarkan kredensial dan token sesi langsung. Penyerang kemudian mengeksploitasi akses tingkat pengguna ini ke karyawan yang menyamar sebagai karyawan, mencuri data, dan meningkatkan hak istimewa.
Menurut 2025 DBIR Verizon, 88% pelanggaran melibatkan kredensial curian, menyoroti bagaimana serangan berbasis identitas sentral telah terjadi.
Jika Anda hanya menonton kata sandi curian atau upaya login yang gagal, Anda kehilangan vektor serangan terbesar.
Bagaimana mempertahankan organisasi Anda
Token sesi sama pentingnya dengan kata sandi dan membutuhkan pola pikir pertahanan baru:
- Mencabut semua sesi aktif segera setelah kompromi titik akhir; Reset Kata Sandi Sendiri Jangan Menghentikan Penyerang
- Monitor Lalu Lintas Jaringan untuk Domain Telegram, saluran exfiltration utama
- Gunakan sidik jari dan deteksi anomali browser untuk menandai sesi yang mencurigakan penggunaan dari perangkat atau lokasi yang tidak diketahui
Mengadaptasi pertahanan dengan realitas baru ini sangat penting untuk menghentikan aktor ancaman yang bergerak cepat.
Menyelam lebih dalam dengan suar
Laporan lengkap kami mencakup:
- Keluarga malware yang paling umum digunakan dalam serangan
- Harga token terperinci berdasarkan jenis akses
- Tangkapan layar dari bot telegram dan daftar pasar
- Rekomendasi yang dapat ditindaklanjuti untuk deteksi dan respons
Jelajahi dataset kami sendiri yang luas dengan memulai a uji coba gratis. Cari jutaan log pencuri, identifikasi sesi yang diekspos, dan unggul dari penyerang.
Baca Laporan Lengkap | Mulailah uji coba gratis Anda
Catatan: Artikel ini ditulis secara ahli dan disumbangkan oleh Eric Clay, yang memiliki pengalaman dalam pemerintahan, risiko dan kepatuhan, analisis data keamanan, dan penelitian keamanan. Dia saat ini berfungsi sebagai CMO di Flare, solusi SaaS manajemen paparan ancaman.
