Angribere stjæler data gennem målrettede angreb fra kompromitterede systemer inden for et netværk og bruger derefter legitime eksekverbare filer til at skjule den ondsindede aktivitet.

Rapporten er lavet af it-sikkerhedsfirmaet Sophos. Når først angriberne får adgang til virksomhedens web- og cloud-baserede miljøer ved hjælp af cookies, bruges de til yderligere udnyttelse. Dette kan omfatte overtagelse af e-mail-konti, social engineering for at få yderligere systemadgang og at kunne ændre data eller kildekode.

- I løbet af det seneste år har vi set angribere i stigende grad stjæle cookies for at komme uden om den voksende brug af MFA. Cyberkriminelle bruger nye og forbedrede versioner af malware til at få adgang til oplysninger. Raccoon Stealer er et eksempel på et program, der bruges til at opnå autentificeringscookies, også kendt som adgangstokens. Med den type cookie bevæger angriberen sig frit i et netværk og kan udgive sig for at være en legitim bruger, siger Per Söderqvist, sikkerhedsekspert hos Sophos.

Sessions- eller autentificeringscookies er en speciel type cookie, der gemmes af en browser, når en bruger logger ind på nettet. Hvis en angriber får adgang til disse, kan de udføre et "pass-the-cookie"-angreb, hvor de injicerer autentificeringscookies (adgangstokens) i en ny websession, og narre browseren til at tro, at de er den godkendte bruger. Hvis autentificeringscookies oprettes og gemmes i en browser, når MFA anvendes, kan de bruges til at omgå det ekstra lag af autentificering. Problemet forværres af det faktum, at mange legitime webbaserede applikationer har cookies med lang levetid, som sjældent eller aldrig udløber. I stedet udløber de kun, hvis brugeren aktivt logger ud af tjenesten.