信息窃取木马将数百万设备变成凭证盗窃机器

当信息窃取木马能给他们一把前门钥匙时，黑客们不再费力去撬侧窗。

信息窃取木马已成为攻击者获取被盗凭证的主要来源。使用这些凭证现已成为恶意行为者以"受邀客人"身份有效访问目标的首选途径。这比强行闯入更快、更容易、更隐蔽且更有效。

Flashpoint 报告称，2025 年有超过 1,110 万台设备感染了信息窃取木马。超过 33 亿条凭证、浏览器工件、会话信息及其他形式的身份数据正在非法市场上流通。这些数据不仅提供了进入目标的途径，还常常提供对有价值数据的授权访问，且不受目标内部安全防御的干扰。

Flashpoint 已发现超过 30 种独特的信息窃取木马变种（以下简称"窃取器"）。精确统计"个体"窃取器的数量很困难（可能也无意义）——黑市几乎每天都在变化，新的窃取器不断出现，现有窃取器被分支，执法行动关闭或至少扰乱其他窃取器。

窃取器可通过地下生态系统获取，通常通过恶意软件即服务（MaaS）模式，租用价格低至每月 60 美元。2025 年，最成功的窃取器依次为 Lumma、Acreed、Rhadamanthys、Vidar 和 StealC。然而，这种情况可能迅速变化。在 2026 年的前两个月，Vidar 从第四位跃升至主导地位，占所有受感染主机和设备的 73% 以上。而 2025 年排名第一的 Lumma 仅占 1.1%。

当攻击者获取窃取器后，他们必须感染目标设备。这通常可以是连接到其打算入侵网络的任何设备，因为该设备上的秘密信息可提供进入网络其他部分的途径。最常见的投递方式是对任何使用台式机或笔记本电脑的人实施标准的社会工程攻击。从统计学上看，几乎可以保证在某处取得成功。

不同的窃取器可能具有不同的进程，窃取不同的数据。但无论其如何运作或窃取什么，都将是以下内容的子集：

它可能首先判断自己是否在沙盒中运行（意味着其存在已被安全控制检测到）。如果是，它可能立即终止活动，以避免被企业防御系统标记。

其代码可能使用字符串加密和混淆技术来防止被静态分析工具检测。此类解密在内存中完成，使其仅在短时间内可见。这使得基于签名的检测变得困难。

窃取器开始收集（通常仍在内存中）其设计要收集的任何数据——基本上是设计者认为最容易变现的任何数据。凭证是主要目标，包括网站密码、企业凭证（VPN、RDP、VNC、webmail）、SaaS 登录信息、云平台凭证、电子邮件账户、密码管理器存储以及可能包含姓名、电话号码和电子邮件地址等存储个人信息的自动填充数据。

它还可能窃取浏览器 Cookie、活跃会话令牌以及云/SaaS 会话工件。窃取器会寻找任何有用的浏览器数据，包括已安装的扩展程序和用户代理。它们可能窃取能找到的任何加密货币钱包信息，如钱包种子和私钥（无论是来自浏览器还是桌面应用）；以及任何能找到的信用卡数据。

窃取器还会收集系统元数据（操作系统版本、硬件、IP 地址等）。通过将数据和元数据结合，窃取器不仅窃取身份，还窃取了上下文信息。

窃取器将数据打包到相关文件中（称为窃取器日志）。它可能压缩并加密这些文件以隐藏内容，躲避企业 DLP，然后将其发送到攻击者控制的 Web 服务器。

攻击者将日志变现；可能自己使用，但更可能将其出售给犯罪团伙。这些团伙的常见用途是利用被盗身份在未被检测到的情况下获取访问权限，在被发现和阻止之前投递并激活勒索软件。从窃取器感染到勒索赎金之间往往有一条直接且相对短暂的链条。

窃取器易于使用，难以检测或阻止，且行动贪婪。大多数受害者直到被自己被盗的凭证入侵时才意识到自己是受害者。唯一可见的迹象是威胁情报发现凭证在非法市场上被交易——但这种可见性并不能阻止你成为受害者，它只是确认了你已经成为受害者。