Một chiến dịch tội phạm mạng quy mô lớn vừa được các nhà nghiên cứu an ninh mạng phát hiện, khi hơn 93,7 tỷ cookie trình duyệt bị đánh cắp đang được rao bán và trao đổi trên các chợ đen của dark web. Con số này đánh dấu mức tăng trưởng tới 74% so với thống kê cùng kỳ năm trước.
Trong số các cookie bị đánh cắp, có hơn 15,6 tỷ vẫn còn hiệu lực. Điều này đồng nghĩa với việc hàng triệu người dùng từ 253 quốc gia và vùng lãnh thổ đang đối mặt với nguy cơ mất quyền kiểm soát tài khoản cá nhân và dữ liệu nhạy cảm. Nguồn gốc chủ yếu đến từ các loại mã độc chuyên thu thập thông tin (infostealer malware), hoạt động mạnh mẽ trên nền tảng Windows và lây lan thông qua các phần mềm giả mạo, tệp cài đặt .msi và phần mềm lậu.
Trong số các mẫu mã độc được phân tích, Redline Stealer dẫn đầu về khối lượng cookie thu thập được, lên tới gần 42 tỷ, dù chỉ khoảng 6,2% trong số đó còn hiệu lực. Mã độc Vidar thu thập 10,5 tỷ cookie với tỷ lệ còn hiệu lực đạt 7,2%, trong khi LummaC2 ghi nhận hơn 8,8 tỷ với mức duy trì 6,5%. Đáng chú ý nhất là CryptBot, dù chỉ thu thập 1,4 tỷ cookie nhưng lại giữ tỷ lệ còn hiệu lực lên tới 83,4%.
Cookie bị đánh cắp thường chứa thông tin xác thực có giá trị như ID người dùng, mã đăng nhập, mã xác thực hoặc thông tin đăng nhập, được hacker khai thác để chiếm quyền truy cập vào tài khoản mà không cần mật khẩu hoặc xác thực hai yếu tố.
Nhiều loại mã độc sử dụng kỹ thuật trích xuất trực tiếp từ bộ nhớ cookie của trình duyệt, sau đó chuyển dữ liệu về máy chủ điều khiển chỉ trong vài phút. Đặc biệt, các công cụ tấn công hiện đại như Rhadamanthys đã tích hợp AI và công nghệ nhận dạng ký tự quang học để trích xuất seed phrase ví tiền mã hóa từ hình ảnh lưu trên máy tính bị nhiễm.
Các dịch vụ phổ biến nhất như Gmail, Google Drive, YouTube và Microsoft Office bị ảnh hưởng nặng nề, với Google chiếm hơn 4,5 tỷ cookie bị xâm phạm. Các chuyên gia bảo mật cảnh báo rằng các cookie còn hiệu lực này có thể cho phép kẻ tấn công vượt qua xác thực đa yếu tố, triển khai các chiến dịch phishing có chủ đích và thậm chí thực hiện tấn công ransomware thông qua việc lạm dụng thông tin xác thực bị rò rỉ.
Để giảm thiểu rủi ro, người dùng và doanh nghiệp cần thường xuyên xóa cookie trình duyệt, triển khai giải pháp phát hiện và phản ứng đầu cuối, đồng thời duy trì hoạt động đào tạo nhận thức an ninh mạng trong tổ chức.
