El malware de robador no solo roba contraseñas. En 2025, roban sesiones en vivo y los atacantes se mueven más rápido y de manera más eficiente que nunca.
Muchas cuentas asociadas tienen servicios personales, pero las amenazas reales se están implementando en las empresas. La última economía de investigación, cuentas y sesiones de Flare analizó más de 20 millones de registros Steeler y rastreó la actividad del atacante en los canales de telegrama y el mercado web oscuro. Los hallazgos revelan cómo los ciberdelincuentes secuestran puntos finales de empleados infectados en las sesiones empresariales.
Esta es la línea de tiempo real de los ataques modernos de secuestro de sesiones.
Robo de infección y datos en una hora
Cuando una víctima ejecuta una carga útil maliciosa, generalmente se disfraza de software agrietado, actualizaciones falsas o archivos adjuntos de phishing. Se tomarán los artículos robados como Red Line (44%de los registros), Raccoon (25%) y Lummac2 (18%).
Estos kits de malware:
Extraer cookies del navegador, credenciales almacenadas, tokens de sesión, billeteras de cifrado y enviar más de 16 millones de registros solo a 10 canales de telegrama en minutos, eliminar automáticamente bots o servidores de comando y control que suministran 10 canales de telegrama ordenados por tipo de sesión, ubicación y aplicación automáticamente a BoTs de Telegram o comandos y controladores de control
Token de sesión: nueva moneda
En cuestión de horas, los ciberdelincuentes examinan los datos robados y se centran en tokens de sesión de alto valor.
El 44% de los registros contienen datos de sesión de Microsoft, 20% incluye el 5% o más sesiones de Google que exponen los tokens de AWS, Azure o GCP Cloud Services
Usando el comando Telegram Bot, un atacante filtra los registros por geografía, aplicación y nivel de privilegio. La lista del mercado incluye datos de huellas digitales del navegador y scripts de inicio de sesión en el estante que evitan el MFA.
Los precios de las sesiones robadas varían ampliamente, ya que las cuentas de los consumidores generalmente se venden por $ 5 a $ 20, mientras que las sesiones de AWS de nivel empresarial o Microsoft pueden obtener más de $ 1,200.
Acceso completo a la cuenta en cuestión de horas
Cuando se compran tokens de sesión, el atacante los importa al navegador anti-TECT de detección y gana un acceso perfecto a la plataforma crítica empresarial sin activar MFA o alertas de inicio de sesión.
Esto no significa que su cuenta personal se esté utilizando mal. Se trata de atacantes que entran en el entorno corporativo.
Acceda a correos electrónicos comerciales como Microsoft 365 o Gmail e ingrese herramientas internas como Slack, Confluence o el panel de administrador.
Flare analizó un registro Steeler, que incluye acceso en vivo y listo para usar a Gmail, Slack, Microsoft 365, Dropbox, AWS y PayPal. Las manos equivocadas pueden escalar este nivel de acceso a la sesión a una violación grave en cuestión de horas.
¿Por qué es esto importante: la escala de la amenaza?
Esto no es un caso atípico. Este es un gran mercado subterráneo industrializado que permite pandillas de ransomware, estafadores y grupos de espías.
Se han robado millones de sesiones válidas, se están vendiendo tokens semanales activos durante varios días, lo que permite el secuestro de sesiones de acceso permanente MFA, y muchas organizaciones tienen violaciones cegadas.
Estos ataques no resultan de violaciones en Microsoft, Google, AWS o cualquier otro proveedor de servicios. En cambio, provienen de usuarios individuales infectados con el malware de Stealer. Esto elimina en silencio sus credenciales y tokens de sesión en vivo. Los atacantes pueden aprovechar este acceso a nivel de usuario para hacerse pasar por los empleados, robar datos y aumentar los privilegios.
Según el 2025 DBIR de Verizon, el 88% de las violaciones están relacionadas con las credenciales robadas, destacando cómo resultó el ataque central basado en la identidad.
Si la contraseña robada o el intento de inicio de sesión simplemente no tienen éxito, falta el vector de ataque más grande.
Cómo proteger a su organización
Los tokens de sesión son tan importantes como las contraseñas y requieren una nueva mentalidad defensiva.
Cancele todas las sesiones activas inmediatamente después del compromiso de punto final. No detenga a los atacantes restableciendo su contraseña solo su contraseña, monitoree el tráfico de red en su dominio de telegrama. Uso de la huella digital del navegador del canal de exfiltración de la llave y los indicadores de anomalías del uso de sesiones sospechosas de dispositivos o ubicaciones desconocidas
La adaptación de las defensas a esta nueva realidad es esencial para detener a los actores de amenaza de rápido movimiento.
Sumergirse más profundo con la bengala
Nuestro informe completo cubre:
Las familias de malware más comunes utilizadas en los ataques son: bots de telegrama y precios de token detallados con capturas de pantalla de tipos de acceso en listas de mercado, recomendaciones prácticas para la detección y respuesta
Comience una prueba gratuita y explore el extenso conjunto de datos usted mismo. Busque millones de registros Steeler, identifique sesiones expuestas y continúe con los atacantes.
Lea el informe completo | Comience una prueba gratuita
Nota: Este artículo es hábilmente escrito y contribuido por Eric Clay, quien tiene experiencia en gobernanza, riesgo y cumplimiento, análisis de datos de seguridad e investigación de seguridad. Actualmente se desempeña como CMO para Flare, una solución SaaS de gestión de exposición de amenazas.
Source link
