El malware del robador ya no roba contraseñas. En 2025, roba sesiones en vivo, y los atacantes se mueven más rápido y de forma más competente que nunca.
Si perfectamente muchas adquisiciones asociadas con servicios personales, la amenaza efectivo se está desarrollando en la empresa. La última investigación de Flare, la pertenencias de adquisición de cuentas y sesiones, analizada sobre 20 millones de registros de robador y rastreó la actividad del atacante en los canales de telegrama y los mercados web oscuros. Los hallazgos exponen cómo los ciberdelincuentes arman los puntos finales de los empleados infectados para secuestrar sesiones empresariales, a menudo en menos de 24 horas.
Aquí está la dirección de tiempo efectivo de un ataque nuevo de secuestro de sesión.
Infección y robo de datos en menos de una hora
Una vez que una víctima ejecuta una carga útil maliciosa, disfrazada típicamente como software descifrado, actualizaciones falsas o accesorios de phishing, los robos de productos de productos modernos como Redline (44%de los registros), el mapache (25%) y LumMac2 (18%) se hacen cargo.
Estos kits de malware:
- Extraer cookies de navegador, credenciales guardadas, tokens de sesión y billeteras de criptografía
- Exfiltrate automáticamente los datos de telegrama o servidores de comando y control en cuestión de minutos
- Avituallar más de 16 millones de registros en solo 10 canales de telegrama solo, ordenados por tipo de sesión, ubicación y aplicación
Tokens de sesión: la nueva moneda
En cuestión de horas, los cibercriminales examinan los datos robados, centrándose en tokens de sesión de detención valencia:
- El 44% de los registros contienen datos de sesión de Microsoft
- 20% incluye Google Sessions
- Más del 5% expone tokens de los servicios en la nubarrón de AWS, Azure o GCP
Utilizando los comandos BOT de Telegram, los atacantes filtran registros por cosmografía, aplicación y nivel de privilegio. Los listados del mercado incluyen datos de huellas digitales del navegador y scripts de inicio de sesión preparados que evitan el MFA.
El precio de las sesiones robadas varía ampliamente, ya que las cuentas de consumo generalmente se venden por $ 5 a $ 20, mientras que las sesiones de AWS de nivel empresarial o Microsoft pueden obtener $ 1,200 o más.
Llegada completo a la cuenta en cuestión de horas
Una vez que se compran los tokens de sesión, los atacantes los importan a navegadores anti-detectados, obteniendo un ataque consumado a plataformas críticas de negocios sin activar alertas de MFA o inicio de sesión.
No se proxenetismo de que las cuentas personales se usen mal. Se proxenetismo de atacantes que se infiltran en entornos corporativos, donde rápidamente:
- Acceda al correo electrónico comercial como Microsoft 365 o Gmail
- Ingrese herramientas internas como paneles de Slack, Confluence o Administr
- Exfiltrado datos confidenciales de plataformas en la nubarrón
- Implementar ransomware o moverse lateralmente a través de los sistemas
Flare analizó un solo registro de robador que incluía ataque en vivo, vivo para usar a Gmail, Slack, Microsoft 365, Dropbox, AWS y PayPal, todo enlazado a una sola máquina infectada. En las manos equivocadas, este nivel de ataque a la sesión puede convertirse en una violación oneroso en cuestión de horas.
Por qué esto importa: la escalera de la amenaza
Esto no es atípico. Es un Mercado subterráneo masivo e industrializado habilitando pandillas de ransomware, estafadores y grupos de espionaje:
- Se roban millones de sesiones válidas y se venden semanalmente
- Los tokens permanecen activos durante días, permitiendo un ataque persistente
- El secuestro de sesiones evita MFA, dejando a muchas organizaciones ciegas a las violaciones
Estos ataques no resultan de las violaciones en Microsoft, Google, AWS u otros proveedores de servicios. En cambio, se derivan de usuarios individuales que se infectan por Malware de Stealer, que exfiltra silenciosamente sus credenciales y tokens de sesión en vivo. Luego, los atacantes explotan este ataque a nivel de becario a los empleados de suplantación, roban datos y aumentan los privilegios.
Según el 2025 DBIR de Verizon, el 88% de las infracciones involucraban credenciales robadas, destacando cómo se han convertido los ataques centrales basados en la identidad.
Si solo está observando contraseñas robadas o intentos de inicio de sesión fallidos, se está perdiendo el vector de ataque más prócer.
Cómo defender su estructura
Los tokens de sesión son tan críticos como las contraseñas y requieren una nueva mentalidad de defensa:
- Revocar todas las sesiones activas inmediatamente posteriormente del compromiso de punto final; Restablecidos de contraseña por sí sola No detenga a los atacantes
- Monitorear el tráfico de red para dominios de telegrama, un canal de exfiltración secreto
- Use huellas dactilares del navegador y detección de anomalías para marcar el uso sospechoso de la sesión de dispositivos o ubicaciones desconocidas
Adaptar las defensas a esta nueva existencia es esencial para detener a los actores de amenaza que se mueven rápidamente.
Sumergirse más profundo con la cohete
Nuestro noticia completo cubre:
- Las familias de malware más comunes utilizadas en los ataques
- Precios de token detallados por tipo de ataque
- Capturas de pantalla de bots de telegrama y listados de mercado
- Recomendaciones procesables para la detección y respuesta
Explore nuestro extenso conjunto de datos usted mismo comenzando un prueba gratuita. Busque millones de registros de robadores, identifiquen sesiones expuestas y se adelanten a los atacantes.
Lea el noticia completo | Comience su prueba gratuita
Nota: Este artículo es escrito y aportado por expertos por Eric Clay, quien tiene experiencia en gobernanza, peligro y cumplimiento, disección de datos de seguridad e investigación de seguridad. Actualmente se desempeña como CMO en Flare, una posibilidad SaaS de papeleo de exposición de amenazas.
