Stealer kötü amaçlı yazılım artık şifreleri çalmıyor. 2025’te canlı oturumlar çalıyor ve saldırganlar her zamankinden daha hızlı ve verimli bir şekilde hareket ediyor.
Birçok kişi kişisel hizmetlerle ilgili hesap alımını ilişkilendirirken, gerçek tehdit işletmede ortaya çıkıyor. Flare’in son araştırması, hesap ve oturum devralma ekonomisi, 20 milyon stealer kütük ve telgraf kanallarında ve karanlık web pazarlarında izlenen saldırgan etkinliği. Bulgular, siber suçluların enfekte çalışan uç noktalarını, genellikle 24 saatten daha kısa bir sürede işletme oturumlarını kaçırmak için nasıl silahlandırıyor.
İşte modern bir oturum kaçırma saldırısının gerçek zaman çizelgesi.
Bir saatin altında enfeksiyon ve veri hırsızlığı
Bir kurban, tipik olarak çatlak yazılım, sahte güncellemeler veya kimlik avı ataşmanları olarak gizlenmiş kötü niyetli bir yük çalıştırdığında, Redline (günlüklerin%44’ü), rakun (%25) ve Lummac2 (%18) gibi emlak çalanlar devralır.
Bu kötü amaçlı yazılım kitleri:
- Tarayıcı çerezlerini, kaydedilmiş kimlik bilgilerini, oturum jetonlarını ve kripto cüzdanlarını çıkarın
- Dakikalar içinde verileri telgraf botlarına veya komut ve kontrol sunucularına otomatik olarak ekspiltre edin
- Oturum türü, konuma ve uygulamaya göre sıralanan sadece 10 telgraf kanalına 16 milyondan fazla kütük besleyin
Oturum Jetonları: Yeni Para Birimi
Siber suçlular, yüksek değerli oturum jetonlarına odaklanarak çalınan verilerden geçerler:
- Günlüklerin% 44’ü Microsoft Oturum Verileri içerir
- % 20’si Google oturumlarını içerir
- AWS, Azure veya GCP Cloud Services’dan% 5’ten fazla belirteç belirtisi
Telegram bot komutlarını kullanarak, saldırganlar coğrafya, uygulama ve ayrıcalık seviyesine göre günlükleri filtreler. Marketplace listeleri, tarayıcı parmak izi verileri ve MFA’yı atlayan hazır oturum açma komut dosyalarını içerir.
Çalınan oturumlar için fiyatlandırma çok değişir, tüketici hesapları genellikle 5 ila 20 $ karşılığında satılırken, kurumsal düzey AWS veya Microsoft oturumları 1.200 $ veya daha fazla getirebilir.
Saatler içinde tam hesap erişimi
Oturum jetonları satın alındıktan sonra, saldırganlar bunları tespit karşıtı tarayıcılara aktarırlar ve MFA veya giriş uyarılarını tetiklemeden kritik platformlara sorunsuz erişim elde eder.
Bu kişisel hesapların kötüye kullanılmasıyla ilgili değil. Bu, hızlı bir şekilde kurumsal ortamlara sızan saldırganlarla ilgilidir:
- Microsoft 365 veya Gmail gibi iş e -postalarına eriş
- Slack, Confluence veya Yönetici Gösterge Tabloları gibi dahili araçları girin
- Bulut platformlarından hassas verileri dışarı atın
- Fidye yazılımı dağıtın veya sistemler arasında yanal olarak hareket edin
Flare, Gmail, Slack, Microsoft 365, Dropbox, AWS ve PayPal’a canlı, kullanıma hazır erişim içeren tek bir stealer günlüğünü analiz etti-hepsi tek bir enfekte makineye bağlı. Yanlış ellerde, bu seans erişimi seviyesi saatler içinde ciddi bir ihlal haline gelebilir.
Bu neden önemli: tehdidin ölçeği
Bu aykırı değil. Bu bir büyük, sanayileşmiş yeraltı pazarı Fidye yazılımı çetelerinin, dolandırıcıların ve casusluk gruplarının etkinleştirilmesi:
- Milyonlarca geçerli oturum çalındı ve haftalık olarak satıldı
- Jetonlar günlerce aktif kalır ve kalıcı erişim sağlar
- Oturum kaçırma MFA’yı atlar ve birçok kuruluşu ihlallere kör bırakır
Bu saldırılar Microsoft, Google, AWS veya diğer hizmet sağlayıcılardaki ihlallerden kaynaklanmaz. Bunun yerine, kimlik bilgilerini ve canlı oturum belirteçlerini sessizce sıyrılan Stealer kötü amaçlı yazılımlarla enfekte olan bireysel kullanıcılardan kaynaklanırlar. Saldırganlar daha sonra çalışanları taklit etmek, verileri çalmak ve ayrıcalıkları artırmak için bu kullanıcı düzeyinde erişimi kullanırlar.
Verizon’un 2025 DBIR’sine göre, ihlallerin% 88’i çalınan kimlik bilgilerini içeriyordu ve merkezi kimlik temelli saldırıların nasıl hale geldiğini vurguladı.
Yalnızca çalınan şifreleri veya başarısız giriş denemelerini izliyorsanız, en büyük saldırı vektörünü kaçırıyorsunuz.
Kuruluşunuzu Nasıl Savunursunuz?
Oturum jetonları şifreler kadar kritiktir ve yeni bir savunma zihniyeti gerektirir:
- Uç nokta uzlaşmasından hemen sonra tüm aktif oturumları iptal edin; Parola Sıfırlar Yalnız Saldırganları Durdurmayın
- Anahtar pespiltrasyon kanalı olan telgraf alanları için ağ trafiğini izleyin
- Bilinmeyen cihazlardan veya konumlardan şüpheli oturumu işaretlemek için tarayıcı parmak izi ve anomali algılama kullanın
Savunmaların bu yeni gerçekliğe uyarlanması, hızlı hareket eden tehdit aktörlerini durdurmak için gereklidir.
Flare ile daha derin dalış
Raporumuzun tamamı:
- Saldırılarda kullanılan en yaygın kötü amaçlı yazılım aileleri
- Erişim türüne göre ayrıntılı jeton fiyatlandırması
- Telgraf botlarının ve pazar listelerinin ekran görüntüleri
- Tespit ve yanıt için eyleme geçirilebilir öneriler
Kapsamlı veri kümemizi başlayarak kendiniz keşfedin ücretsiz deneme. Milyonlarca stealer günlüklerini arayın, maruz kalan oturumları belirleyin ve saldırganların önüne geçin.
Raporun tamamını okuyun | Ücretsiz denemenize başlayın
Not: Bu makale, yönetişim, risk ve uyum, güvenlik verileri analizi ve güvenlik araştırmaları konusunda deneyime sahip olan Eric Clay tarafından yazılmıştır ve katkıda bulunmaktadır. Halen bir tehdit maruziyet yönetimi SaaS çözümü olan Flare’de CMO olarak görev yapmaktadır.