بدافزارهای سارق در سال ۲۰۲۵ دیگر تنها رمزهای عبور را سرقت نمی‌کنند، بلکه جلسات زنده کاربران را نیز هدف قرار می‌دهند و مهاجمان با سرعت و کارایی بیشتری عمل می‌کنند. تحقیقات شرکت Flare بر روی بیش از ۲۰ میلیون لاگ سارق نشان می‌دهد که مجرمان سایبری از طریق آلوده کردن دستگاه‌های کارمندان، جلسات سازمانی را در کمتر از ۲۴ ساعت ربوده و کنترل می‌کنند. بدافزارهایی مانند Redline، Raccoon و LummaC2 پس از اجرای بارهای مخرب، کوکی‌های مرورگر، اعتبارنامه‌ها، توکن‌های جلسه و کیف پول‌های رمزارز را استخراج کرده و در عرض دقایق به سرورهای کنترل یا ربات‌های تلگرام ارسال می‌کنند.

مهاجمان با استفاده از توکن‌های جلسه سرقتی که ۴۴٪ آن‌ها شامل داده‌های جلسه مایکروسافت و ۲۰٪ شامل جلسات گوگل است، به مرورگرهای ضد تشخیص وارد شده و بدون فعال کردن هشدارهای MFA به پلتفرم‌های حیاتی کسب‌وکار دسترسی پیدا می‌کنند. این حملات که از طریق بازارهای زیرزمینی صنعتی شده با قیمت‌هایی از ۵ دلار برای حساب‌های مصرفی تا ۱۲۰۰ دلار برای جلسات سازمانی فروخته می‌شوند، امکان دسترسی به ایمیل‌های تجاری، ابزارهای داخلی، پلتفرم‌های ابری و حتی استقرار باج‌افزار را فراهم می‌کنند. سازمان‌ها باید علاوه بر نظارت بر رمزهای عبور، تمام جلسات فعال را پس از آلودگی فوری لغو کرده و از تشخیص ناهنجاری برای شناسایی استفاده مشکوک از جلسات استفاده کنند.