工作階段或驗證 cookie 是使用者登入 Web 資源時,由 Web 瀏覽器儲存的一種特定類型的 cookie。如果攻擊者獲得它們,那麼就可以進行「pass-the-cookie」攻擊,將存取權杖插入到新的 Web 工作階段中,誘使瀏覽器相信它是經過驗證的使用者,免除驗證的需要。此外使用 MFA 時,也會在 Web 瀏覽器上建立和儲存權杖,因此相同的攻擊手法一樣能繞過這一層額外的驗證。雪上加霜的是,許多合法 Web 應用程式的 cookie 是幾乎不會或是永不過期;其他 cookie 則是只有在使用者明確退出服務時才會過期。
在惡意軟體即服務行業出現後,即使是新手也能容易地竊取憑證。例如,他們只需購買一份如 Raccoon Stealer 的資訊竊取木馬程式,然後大量收集密碼和 cookie 等資料,即可在犯罪市場上出售它們,包括 Genesis。攻擊鏈上的其他犯罪分子 (如勒索軟體集團) 隨後可以購買這些資料,然後進行篩選,挖出他們認為對攻擊有用的任何東西。 但相反的,在 Sophos 調查的最近兩起事件中,攻擊者採取了更具針對性的方法。在一個案例中,攻擊者在目標網路中花費了數個月時間從 Microsoft Edge 瀏覽器收集 cookie。最初的入侵是透過一個漏洞利用工具套件進行的,然後攻擊者結合使用 Cobalt Strike 和 Meterpreter 來濫用合法的編譯器工具,以抓取存取權杖。在另一個案例下,攻擊者使用合法的 Microsoft Visual Studio 元件下載了一個惡意裝載,然後抓取了一整週的 cookie 檔案。