لم تعد برامج سرقة البيانات (Stealer Malware) تقتصر على كلمات المرور، بل أصبحت تسرق جلسات العمل النشطة (Live Sessions) وتخترق الأنظمة المؤسسية في غضون ساعات. كشفت دراسة حديثة لشركة Flare تحليلًا لأكثر من 20 مليون سجل سرقة، وكشفت كيف يتحرك القراصنة بسرعة لاختراق المؤسسات باستخدام جلسات مسروقة.
الجدول الزمني لهجوم سرقة الجلسات في 2025
- الاختراق وسرقة البيانات (أقل من ساعة)
- يتم خداع الضحية عبربرامج مزيفة، تحديثات خادعة، أو مرفقات تصيد.
- تعمل برامج سرقة البيانات مثلRedLine (44%)، Raccoon (25%)، وLummaC2 (18%) على:
- سرقة ملفات تعريف الارتباط (Cookies)، بيانات الاعتماد، رموز الجلسات، ومحافظ العملات الرقمية.
- نقل البيانات إلى خوادم التحكم (C&C) أو بوتات Telegram في دقائق.
- يتم بيع أكثر من16 مليون سجل عبر 10 قنوات Telegram فقط، مصنفة حسب نوع الجلسة والتطبيق.
- رموز الجلسات: العملة الجديدة للقراصنة (ساعات)
- 44% من السجلات المسروقة تحتوي على جلسات Microsoft.
- 20% تحتوي على جلسات Google.
- 5%+ تكشف عن جلسات AWS وAzure وGCP.
- يتم بيع الجلسات في الأسواق السرية:
- حسابات المستخدمين العاديين: 5-20 دولارًا.
- جلسات مؤسسية (مثل AWS أو Microsoft 365): 1,200 دولار فأكثر.
- الوصول الكامل إلى الحسابات (ساعات)
- يستخدم المهاجمونمتصفحات مضادة للكشف (Anti-Detect Browsers) لاستيراد الجلسات المسروقة.
- يتم تجاوزالمصادقة الثنائية (MFA) دون أي تنبيهات.
- يتم اختراق:
- البريد الإلكتروني المؤسسي (Microsoft 365، Gmail).
- منصات التواصل الداخلي (Slack، Confluence).
- حسابات الحوسبة السحابية (AWS، Azure).
- نقل البيانات أو نشر برامج الفدية.
لماذا هذا الخطر كبير؟
- 88% من الاختراقات تعتمد على سرقة بيانات الاعتماد(حسب تقرير Verizon 2025).
- الملايين من الجلسات النشطة تُباع أسبوعيًافي الأسواق السرية.
- الهجمات لا تحتاج إلى اختراق أنظمة Microsoft أو Google، بل تعتمد على إصابة أجهزة الموظفين.
كيف تحمي مؤسستك؟
– إلغاء جميع الجلسات النشطة فور اكتشاف الاختراق (تغيير كلمة المرور لا يكفي).
– مراقبة حركة الشبكة للكشف عن اتصالات مشبوهة بـ Telegram.
– استخدام بصمات المتصفح (Browser Fingerprinting) لاكتشاف الجلسات غير المعتادة.
– تفعيل أنظمة كشف التسلل (IDS/IPS) للتنبيه من النشاط المشبوه.
