Cookie Monster Attack

Dieser Trend spiegelt grundlegende Veränderungen in der Arbeitsweise von Unternehmen wider. Der „2025 Work Relationship Index” von HP ergab, dass jeder fünfte Mitarbeiter flexibel zwischen Büro, Zuhause und mobilen Umgebungen arbeitet. Gleichzeitig haben Unternehmen ihre Infrastruktur auf Cloud-Plattformen wie Microsoft Entra migriert und traditionelle VPN- und Remote-Desktop-Sitzungen durch browserbasiertes Management ersetzt.

So funktioniert Cookie-Diebstahl

Wenn sich Benutzer bei Webanwendungen authentifizieren, erstellt das System ein Sitzungscookie, um ihren Anmeldestatus aufrechtzuerhalten. Dieses Cookie wird bei jeder Anfrage an den Server mitgesendet, sodass keine wiederholte Authentifizierung erforderlich ist.

Angreifer setzen Malware zum Diebstahl von Informationen ein, die diese Cookies von kompromittierten Endpunkten extrahiert. Mit dem Cookie können sie die aktive Sitzung des Benutzers übernehmen und alle Berechtigungen übernehmen, ohne Anmeldedaten oder Zwei-Faktor-Codes zu benötigen.

Der Data Breach Investigation Report 2025 von Verizon identifizierte den Diebstahl von Tokens als die häufigste Technik zur Umgehung der MFA bei Angriffen auf Microsoft 365-Dienste, die in 31 % der dokumentierten Vorfälle auftrat. Der Bericht stellte außerdem fest, dass gestohlene Anmeldedaten in 88 % der Vorfälle verwendet wurden, die auf Webanwendungen abzielten.

Geschwindigkeit und Umfang der Cookie-Märkte

Gestohlene Anmeldedaten und Cookies werden schnell auf Untergrundmärkten weiterverkauft. Untersuchungen zeigen, dass 65 % der gestohlenen Anmeldedaten weniger als 24 Stunden nach dem Diebstahl zum Verkauf angeboten werden, wobei der Durchschnittspreis bei etwa 10 US-Dollar liegt.

Der Zusammenhang zwischen Informationsdieben und Ransomware-Operationen ist mittlerweile eindeutig. In mehr als der Hälfte der analysierten Ransomware-Vorfälle tauchten die Domains der betroffenen Organisationen vor dem Angriff zunächst in den Protokollen von Informationsdieben oder in Hacking-Foren auf.

Bemerkenswerte Sicherheitsverletzungen

Im September 2024 gab die niederländische Polizei bekannt, dass Angreifer die Kontaktdaten von Beamten mithilfe von Session-Cookies gestohlen hatten, die sie auf einem Marktplatz gekauft hatten. Die Cookies waren im Rahmen einer früheren Kampagne zum Diebstahl von Informationen gesammelt worden.

Electronic Arts erlebte im Juni 2021 eine Sicherheitsverletzung, bei der Angreifer gestohlene Authentifizierungs-Cookies für 10 US-Dollar auf dem Genesis-Marktplatz kauften. Mit diesen Cookies kapern sie die Slack-Sitzung eines EA-Mitarbeiters und manipulierten IT-Support-Mitarbeiter, damit diese ihnen Netzwerkzugriff gewährten. Der Vorfall führte zum Diebstahl von etwa 780 GB an Daten, darunter der Quellcode für FIFA 21 und die Frostbite-Spielengine.

Fallstudie zu Lumma Stealer

Lumma Stealer veranschaulicht das Ausmaß der aktuellen Operationen von Informationsdieben. Microsoft identifizierte zwischen März und Mai 2025 weltweit über 394.000 infizierte Windows-Computer.

Mitte Mai 2025 koordinierte Europol eine internationale Operation zur Zerschlagung der Infrastruktur von Lumma Stealer und beschlagnahmte dabei etwa 1.300 bösartige Domains. Die Störung erwies sich jedoch als vorübergehend – im Juli 2025 wurden die Malware-Aktivitäten wieder aufgenommen, was darauf hindeutet, dass die Betreiber ihre Infrastruktur wieder aufgebaut haben.

Abwehrmaßnahmen

Unternehmen können verschiedene Kontrollmaßnahmen ergreifen, um das Risiko von Cookie-Diebstahl zu begrenzen:

Die Bindung des Sitzungskontexts beschränkt die Gültigkeit von Cookies auf bestimmte Geräte, IP-Adressen, Benutzeragenten oder Geolokalisierungen. Dadurch wird verhindert, dass gestohlene Cookies auf von Angreifern kontrollierten Systemen funktionieren.

Eine verkürzte Sitzungsdauer erzwingt eine häufige erneute Authentifizierung und verringert so das Zeitfenster für die Ausnutzung von Cookies. Dieser Ansatz erhöht jedoch die Reibung für die Benutzer.

Erneute Authentifizierungsanforderungen für sensible Aktionen – Hinzufügen von Administratoren, Ändern von Passwörtern, Zugriff auf kritische Daten – schränken die Möglichkeiten der Angreifer ein, mit gestohlenen Sitzungen etwas zu erreichen.

Diese Maßnahmen sind gegen Cookie-Exfiltration wirksam, versagen jedoch, wenn Angreifer den Endpunkt selbst kompromittiert haben und Befehle direkt über das infizierte Gerät injizieren.

Hardware-gestützte Isolierung

Die Technologie zur Anwendungsisolierung ist für Szenarien gedacht, in denen Endpunkte kompromittiert sind. Diese Lösungen nutzen Mikro-Virtualisierungsmaschinen, um privilegierte Anwendungen von Hostsystemen zu trennen und so zu verhindern, dass Malware auf Cookies zugreift oder Befehle in isolierte Sitzungen einschleust.

Dieser Ansatz bietet eine Privilegientrennung, die mit privilegierten Zugangs-Workstations – dedizierten Geräten für Verwaltungsaufgaben – vergleichbar ist, ohne dass Unternehmen mehrere Geräte pro Benutzer verwalten müssen.

Reaktion von Regulierungsbehörden und Markt

In kritischen Infrastruktursektoren steigt die Nachfrage nach technischen Lösungen gegen Cookie-Diebstahl. Neue Vorschriften führen Kontrollen ein, die Sicherheitsmaßnahmen für die Fernverwaltung von Systemen vorschreiben und oft eine Trennung der Geräte erfordern.

Unternehmen stehen im Spannungsfeld zwischen Kosten, Sicherheit und Benutzerfreundlichkeit, da sie regulatorische Anforderungen und betriebliche Einschränkungen gegeneinander abwägen müssen.

Auswirkungen

Die Verbreitung von Session-Cookie-Diebstahl spiegelt eine Weiterentwicklung der Techniken von Angreifern wider. Da Unternehmen MFA einsetzen, haben sich die Angreifer darauf eingestellt, die Authentifizierungsebene anzugreifen, die durch MFA nicht geschützt ist.

Das hybride Arbeitsmodell hat die Angriffsfläche vergrößert, da Verwaltungsaufgaben nun von verschiedenen Standorten und Geräten aus durchgeführt werden. Die browserbasierte Verwaltung ist zwar bequem, aber es fehlt ihr die physische und netzwerkbezogene Trennung, die frühere IT-Architekturen auszeichnete.

Eine wirksame Verteidigung erfordert die Annahme von Angriffsszenarien – die Implementierung von Kontrollen, die auch dann funktionieren, wenn Malware auf Endgeräten vorhanden ist. Unternehmen müssen prüfen, ob ihre aktuellen Sicherheitsarchitekturen den Zugriff kompromittierter Geräte auf privilegierte Systeme berücksichtigen.

The trend reflects fundamental changes in how organizations operate. HP’s 2025 Work Relationship Index found that one in five employees work flexibly across office, home, and mobile environments. Simultaneously, enterprises have migrated infrastructure to cloud platforms like Microsoft Entra, replacing traditional VPN and remote desktop sessions with browser-based management.

How Cookie Theft Works

When users authenticate to web applications, the system creates a session cookie to maintain their logged-in state. This cookie travels with every request to the server, eliminating the need for repeated authentication.

Attackers deploy information stealer malware that extracts these cookies from compromised endpoints. With the cookie in hand, they can assume the user’s active session—inheriting all privileges without needing credentials or second-factor codes.

Verizon’s 2025 Data Breach Investigation Report identified token theft as the most common technique for bypassing MFA in attacks against Microsoft 365 services, appearing in 31% of documented incidents. The report also noted that stolen credentials were used in 88% of incidents targeting web applications.

Speed and Scale of Cookie Markets

Stolen credentials and cookies move rapidly through underground marketplaces. Research indicates that 65% of stolen credentials appear for sale less than 24 hours after theft, with average prices around $10.

The connection between information stealers and ransomware operations has become clear. In more than half of analyzed ransomware incidents, victim organization domains first appeared in information stealer logs or on hacking forums before the attack occurred.

Notable Breaches

In September 2024, the Dutch national police disclosed that attackers stole officer contact information using session cookies purchased from a marketplace. The cookies had been harvested through an earlier information stealer campaign.

Electronic Arts experienced a breach in June 2021 where attackers purchased stolen authentication cookies for $10 from the Genesis marketplace. Using these cookies, they hijacked an EA employee’s Slack session and manipulated IT support staff into granting network access. The breach resulted in theft of approximately 780 GB of data, including source code for FIFA 21 and the Frostbite game engine.

Lumma Stealer Case Study

Lumma Stealer exemplifies the scale of current information stealer operations. Microsoft identified over 394,000 infected Windows computers globally between March and May 2025.

In mid-May 2025, Europol coordinated an international takedown operation, seizing approximately 1,300 malicious domains supporting Lumma Stealer’s infrastructure. However, the disruption proved temporary—malware activity resumed in July 2025, suggesting operators rebuilt their infrastructure.

Defensive Measures

Organizations can implement several controls to limit cookie theft risks:

Session context binding restricts cookie validity to specific devices, IP addresses, user agents, or geolocations. This prevents stolen cookies from functioning on attacker-controlled systems.

Reduced session lifetimes force frequent re-authentication, narrowing the window for cookie exploitation. However, this approach increases user friction.

Re-authentication requirements for sensitive actions—adding administrators, changing passwords, accessing critical data—limit what attackers can accomplish with stolen sessions.

These measures address cookie exfiltration scenarios but fail when attackers have compromised the endpoint itself and inject commands directly through the infected device.

Hardware-Enforced Isolation

Application isolation technology addresses scenarios where endpoints are compromised. These solutions use micro virtual machines to separate privileged applications from host systems, preventing malware from accessing cookies or injecting commands into isolated sessions.

This approach provides privilege separation comparable to privileged access workstations—dedicated devices for administrative tasks—without requiring organizations to manage multiple devices per user.

Regulatory and Market Response

Critical infrastructure sectors show increasing demand for technical solutions addressing cookie theft. Developing regulations introduce controls that enforce security measures for remote system administration, often requiring device separation.

Organizations face tension between cost, security, and usability as they balance regulatory requirements against operational constraints.

Implications

The prevalence of session cookie theft reflects a maturation in attacker techniques. As organizations have deployed MFA, threat actors have adapted to target the authentication layer that MFA doesn’t protect.

The hybrid work model has expanded the attack surface, with administrative actions now performed from diverse locations and devices. Browser-based management, while convenient, lacks the physical and network segregation that characterized earlier IT architectures.

Effective defense requires assuming breach scenarios—implementing controls that function even when malware is present on endpoints. Organizations must evaluate whether their current security architectures account for compromised devices accessing privileged systems.