Dabei sollen die Kriminellen legitime ausführbare Dateien verwenden, um ihre Aktivitäten zu verschleiern [1]. Sobald sie mithilfe der Cookies einen Zugang zu web- oder cloudbasierten oder Unternehmens-Ressourcen hätten, können sie diese für weitere Angriffe einsetzen. Dazu gehören beispielsweise die Kompromittierung von E-Mails oder Social Engineering, um zusätzliche Systemzugänge zu ergaunern oder sogar für die Änderung von Daten oder Quellcode-Repositories zu sorgen.

Da bei der Verwendung von MFA auch ein Token erstellt und in einem Webbrowser gespeichert wird, lässt sich derselbe Angriff verwenden, um diese zusätzliche Authentifizierungsebene zu umgehen. Erschwerend kommt laut Sophos hinzu, dass viele legitime webbasierte Anwendungen langlebige Cookies anlegen, die selten oder nie ablaufen; Einige Cookies werden nur dann gelöscht, wenn sich der Benutzer ausdrücklich vom Dienst abmeldet.

dr

[1] https://news.sophos.com/cookie-stealing-the-new-perimeter-bypass/