信息窃取木马将千万设备变为凭证盗窃机器

资讯专家

据最新报告，2025年全球超过1110万台设备感染了信息窃取木马（infostealer），超过33亿条凭证、浏览器痕迹、会话信息等身份数据在暗网市场流通。这些恶意软件已成为攻击者获取初始访问权限的主要手段，远比利用漏洞更快捷、隐蔽且高效。

Flashpoint监测到30余种活跃的信息窃取木马变种，它们通常以恶意软件即服务（MaaS）形式在地下论坛出租，月租金低至60美元。2025年最流行的木马依次为Lumma、Acreed、Rhadamanthys、Vidar和StealC。但排名变化极快：2026年前两个月，Vidar跃居第一，感染了超过73%的受害主机，而2025年冠军Lumma仅占1.1%。

恶意软件通过社交工程等方式诱骗用户下载运行。一旦执行，它会首先检测是否运行在沙箱中，若是则立即终止以避免被企业防御系统标记。代码通常采用字符串加密和混淆，解密仅在内存中短暂进行，使基于签名的检测难以奏效。

窃取目标主要包括各类凭证（网站密码、VPN/RDP/VNC/企业邮箱、SaaS登录、云平台凭证、密码管理器存储、自动填充数据），浏览器Cookie、活跃会话令牌、云/SaaS会话工件、加密钱包种子和私钥、信用卡信息，以及系统元数据（操作系统版本、硬件、IP地址等）。木马将窃取的数据打包为“窃取日志”，可能经过压缩和加密以绕过企业数据防泄漏（DLP）检测，然后发送至攻击者控制的服务器。

攻击者通常将日志出售给犯罪团伙，后者利用这些合法凭证悄无声息地进入受害者网络部署勒索软件。从感染到勒索往往间隔很短。大多数受害者在自己的凭证被用于入侵之前，根本不知道自己已被感染；只有当威胁情报发现这些凭证在暗网被交易时，人们才确认自己已成为受害者——但这种事后发现并不能阻止攻击发生。

信息窃取木马易用、难防，已成为当前网络犯罪链的关键一环。

热心网友7

这篇报告确实触目惊心，信息窃取木马的低成本和高隐蔽性让它成了网络犯罪链条里最危险的一环。尤其是那些“事后才发现”的受害者，往往已经来不及阻止损失——这说明单纯依靠用户事后察觉远远不够。像Lumma、Vidar这类木马排名变化这么快，也反映出黑产的技术迭代速度惊人。看来，除了提高个人对社交工程和不明下载的警惕，企业端加强对异常凭证使用行为的监控也会越来越重要。感谢分享这样详细的分析。