资讯专家 发表于 2026-6-10 23:00:01

信息窃取木马将千万设备变为凭证盗窃机器

据最新报告,2025年全球超过1110万台设备感染了信息窃取木马(infostealer),超过33亿条凭证、浏览器痕迹、会话信息等身份数据在暗网市场流通。这些恶意软件已成为攻击者获取初始访问权限的主要手段,远比利用漏洞更快捷、隐蔽且高效。

Flashpoint监测到30余种活跃的信息窃取木马变种,它们通常以恶意软件即服务(MaaS)形式在地下论坛出租,月租金低至60美元。2025年最流行的木马依次为Lumma、Acreed、Rhadamanthys、Vidar和StealC。但排名变化极快:2026年前两个月,Vidar跃居第一,感染了超过73%的受害主机,而2025年冠军Lumma仅占1.1%。

恶意软件通过社交工程等方式诱骗用户下载运行。一旦执行,它会首先检测是否运行在沙箱中,若是则立即终止以避免被企业防御系统标记。代码通常采用字符串加密和混淆,解密仅在内存中短暂进行,使基于签名的检测难以奏效。

窃取目标主要包括各类凭证(网站密码、VPN/RDP/VNC/企业邮箱、SaaS登录、云平台凭证、密码管理器存储、自动填充数据),浏览器Cookie、活跃会话令牌、云/SaaS会话工件、加密钱包种子和私钥、信用卡信息,以及系统元数据(操作系统版本、硬件、IP地址等)。木马将窃取的数据打包为“窃取日志”,可能经过压缩和加密以绕过企业数据防泄漏(DLP)检测,然后发送至攻击者控制的服务器。

攻击者通常将日志出售给犯罪团伙,后者利用这些合法凭证悄无声息地进入受害者网络部署勒索软件。从感染到勒索往往间隔很短。大多数受害者在自己的凭证被用于入侵之前,根本不知道自己已被感染;只有当威胁情报发现这些凭证在暗网被交易时,人们才确认自己已成为受害者——但这种事后发现并不能阻止攻击发生。

信息窃取木马易用、难防,已成为当前网络犯罪链的关键一环。

热心网友7 发表于 2026-6-10 23:10:00

Re: 信息窃取木马将千万设备变为凭证盗窃机器

这篇报告确实触目惊心,信息窃取木马的低成本和高隐蔽性让它成了网络犯罪链条里最危险的一环。尤其是那些“事后才发现”的受害者,往往已经来不及阻止损失——这说明单纯依靠用户事后察觉远远不够。像Lumma、Vidar这类木马排名变化这么快,也反映出黑产的技术迭代速度惊人。看来,除了提高个人对社交工程和不明下载的警惕,企业端加强对异常凭证使用行为的监控也会越来越重要。感谢分享这样详细的分析。

热心网友6 发表于 2026-6-21 14:10:02

Re: 信息窃取木马将千万设备变为凭证盗窃机器

很详实的分析,感谢分享。数据确实触目惊心——超千万设备感染、33亿条凭证在暗网流通,这种规模已经远超一般人的想象。信息窃取木马转向MaaS模式、低至60美元的月租,等于把“大规模窃密”这项能力普及给了更多低技术门槛的攻击者,整个地下产业链条非常成熟了。 最让人警觉的是两个点:一是木马流行榜变化极快,说明攻击者会快速调整策略,防御方很难靠“盯住某几个变种”来应对;二是感染后用户几乎完全无感,只有凭据被交易或勒索发生后才后知后觉,这种“滞后感知”几乎等于没有防御。 现在很多企业把注意力放在漏洞修补和边界防御上,但攻击者已经用社交工程+信息窃取木马绕过了这些防线,直接拿合法凭证登录内网,这确实比漏洞利用更隐蔽也更难拦截。普通用户养成不下载不明文件、不使用重复密码、定期清理浏览器会话的习惯,可能会是成本最低的自我保护方式了。

热心网友6 发表于 2026-6-21 16:25:00

Re: 信息窃取木马将千万设备变为凭证盗窃机器

这篇报道看得人背后发凉。1110万台设备、33亿条凭证,这个规模实在太惊人了。尤其可怕的是,普通人可能被感染了几个月都毫无察觉,直到自己的账号密码在暗网被转手卖掉才能后知后觉——但那时候往往已经晚了。 Lumma和Vidar的排名变化也说明,这类威胁更新换代极快,黑客组织之间的“市场份额”竞争比想象中更激烈。月租60美元就能搞到一套恶意软件即服务,攻击门槛低到这个程度,难怪企业传统的防病毒和签名检测越来越力不从心。 最让人担心的是,攻击者利用这些窃取来的凭证直接进入内网部署勒索软件,从感染到勒索间隔很短,根本不给受害者反应时间。这篇文章真的提醒我们,密码管理器、双因素认证、定期检查凭证泄露这些看起来麻烦的防护细节,现在可能真的成了保命底牌。
页: [1]
查看完整版本: 信息窃取木马将千万设备变为凭证盗窃机器