MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

From Infection to Access


من الإصابة إلى الاختراق: جدول زمني خلال 24 ساعة لحملة سرقة جلسات حديثة

لم تعد برمجيات السرقة تقتصر على سرقة كلمات المرور. ففي عام 2025، أصبحت تسرق الجلسات النشطة، والمهاجمون يتحركون بسرعة وكفاءة غير مسبوقة.

بينما يربط البعض اختراق الحسابات بالخدمات الشخصية، فإن التهديد الحقيقي يحدث داخل المؤسسات. كشفت أحدث أبحاث شركة Flare بعنوان "اقتصاد اختراق الحسابات والجلسات" عن تحليل لأكثر من 20 مليون سجل لبرمجيات السرقة، وتتبع أنشطة المهاجمين عبر قنوات Telegram وأسواق الويب المظلم.

خلال أقل من ساعة: الإصابة وسرقة البيانات

بمجرد أن يقوم الضحية بتشغيل ملف خبيث – غالبًا ما يكون مقنعًا على شكل برنامج مقرصن، تحديث وهمي، أو مرفق تصيد – تبدأ برمجيات السرقة الشائعة مثل Redline (44% من السجلات)، Raccoon (25%) وLummaC2 (18%) بالسيطرة.

تقوم هذه البرمجيات بـ:

  • استخراج الكوكيز، بيانات الجلسة، كلمات المرور المخزنة، ومحافظ العملات الرقمية
  • نقل البيانات تلقائيًا إلى خوادم C2 أو روبوتات تيليجرام خلال دقائق
  • تغذية أكثر من 16 مليون سجل في 10 قنوات Telegram فقط، مصنفة حسب نوع الجلسة والموقع والتطبيق

رموز الجلسات: العملة الجديدة

خلال ساعات، يقوم المهاجمون بفرز البيانات المسروقة والتركيز على رموز الجلسات عالية القيمة:

  • 44% من السجلات تحتوي على بيانات جلسات Microsoft
  • 20% تشمل جلسات Google
  • أكثر من 5% تتضمن جلسات AWS أو Azure أو GCP

يستخدم المهاجمون أوامر روبوتات تيليجرام لتصفية السجلات حسب الجغرافيا أو التطبيق أو مستوى الصلاحيات. تشمل القوائم في الأسواق بيانات بصمات المتصفح وسكربتات تسجيل دخول تتجاوز المصادقة الثنائية (MFA).

تتراوح أسعار الجلسات ما بين 5 إلى 20 دولار لحسابات الأفراد، وتصل إلى أكثر من 1200 دولار لجلسات المؤسسات مثل AWS أو Microsoft.

الوصول الكامل خلال ساعات

بعد شراء رموز الجلسات، يقوم المهاجمون باستيرادها في متصفحات مضادة للكشف (anti-detect)، ما يمنحهم دخولًا سلسًا للأنظمة دون الحاجة لكلمة مرور أو المصادقة الثنائية.

هكذا يتمكنون من:

  • الوصول للبريد الإلكتروني مثل Microsoft 365 أو Gmail
  • الدخول إلى أدوات داخلية مثل Slack وConfluence ولوحات التحكم
  • سرقة البيانات الحساسة من المنصات السحابية
  • نشر برمجيات الفدية أو التنقل بين الأنظمة

أحد السجلات التي حللتها Flare تضمّن وصولًا نشطًا إلى Gmail، Slack، Microsoft 365، Dropbox، AWS وPayPal – جميعها من جهاز واحد مصاب.

لماذا هذا مهم؟

هذا السيناريو ليس استثناءً، بل هو جزء من سوق تحت الأرض ضخم ومنظم يموّل عصابات الفدية والمحتالين وجهات التجسس:

  • يتم سرقة وبيع ملايين الجلسات أسبوعيًا
  • تبقى الجلسات نشطة لأيام، مما يسمح بوصول طويل الأمد
  • تتجاوز هذه الهجمات MFA وتجعل اكتشافها أكثر صعوبة

الهجمات لا تنتج عن اختراق مزودي الخدمة مثل Google أو AWS، بل نتيجة إصابة أجهزة المستخدمين ببرمجيات السرقة، ما يتيح للمهاجمين انتحال شخصية الموظفين والوصول للأنظمة الحساسة.

وفقًا لتقرير Verizon لعام 2025، فإن 88% من الخروقات الأمنية تضمنت بيانات اعتماد مسروقة، مما يعكس مركزية هذه الهجمات.

كيف تحمي مؤسستك؟

رموز الجلسات لا تقل أهمية عن كلمات المرور وتتطلب أسلوب دفاع مختلف:

  • إلغاء جميع الجلسات الفعالة فور تأكيد إصابة أحد الأجهزة
  • مراقبة حركة الشبكة للكشف عن نشاط يتعلق بـ Telegram
  • استخدام تقنيات بصمة المتصفح وكشف السلوكيات غير الطبيعية

التحول إلى عقلية دفاعية جديدة أمر ضروري لمواجهة هذا النوع السريع والمتطور من التهديدات.

تحليل أعمق مع Flare

يشمل التقرير الكامل:

  • أكثر برمجيات السرقة استخدامًا في الهجمات
  • تفاصيل تسعير الجلسات حسب نوع الوصول
  • صور من روبوتات Telegram وقوائم الأسواق السوداء
  • توصيات عملية للكشف والاستجابة

ابدأ بتحليل السجلات بنفسك واستبق المهاجمين قبل أن يتمكنوا من استغلال أي جلسة داخل مؤسستك.