文章总结： 信息窃取木马已成为黑客获取凭证的主要工具，2025年感染超1110万台设备，导致33亿条凭证在非法市场流通。攻击者通过MaaS模式低成本租用窃取器，采用社会工程攻击传播，窃取密码、会话令牌等数据后直接用于勒索软件攻击。建议企业加强威胁情报监控和员工安全意识培训。 综合评分： 75 文章分类： 恶意软件,数据泄露,威胁情报,安全意识,安全运营

【安全圈】信息窃取木马将数百万设备变成凭证盗窃机器

安全圈

2026年6月11日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

消息窃取

当信息窃取木马能给他们一把前门钥匙时，黑客们不再费力去撬侧窗。

信息窃取木马已成为攻击者获取被盗凭证的主要来源。使用这些凭证现已成为恶意行为者以”受邀客人”身份有效访问目标的首选途径。这比强行闯入更快、更容易、更隐蔽且更有效。

Flashpoint 报告称，2025 年有超过 1,110 万台设备感染了信息窃取木马。超过 33 亿条凭证、浏览器工件、会话信息及其他形式的身份数据正在非法市场上流通。这些数据不仅提供了进入目标的途径，还常常提供对有价值数据的授权访问，且不受目标内部安全防御的干扰。

Flashpoint 已发现超过 30 种独特的信息窃取木马变种（以下简称”窃取器”）。精确统计”个体”窃取器的数量很困难（可能也无意义）——黑市几乎每天都在变化，新的窃取器不断出现，现有窃取器被分支，执法行动关闭或至少扰乱其他窃取器。

窃取器可通过地下生态系统获取，通常通过恶意软件即服务（MaaS）模式，租用价格低至每月 60 美元。2025 年，最成功的窃取器依次为 Lumma、Acreed、Rhadamanthys、Vidar 和 StealC。然而，这种情况可能迅速变化。在 2026 年的前两个月，Vidar 从第四位跃升至主导地位，占所有受感染主机和设备的 73% 以上。而 2025 年排名第一的 Lumma 仅占 1.1%。

当攻击者获取窃取器后，他们必须感染目标设备。这通常可以是连接到其打算入侵网络的任何设备，因为该设备上的秘密信息可提供进入网络其他部分的途径。最常见的投递方式是对任何使用台式机或笔记本电脑的人实施标准的社会工程攻击。从统计学上看，几乎可以保证在某处取得成功。

不同的窃取器可能具有不同的进程，窃取不同的数据。但无论其如何运作或窃取什么，都将是以下内容的子集：

它可能首先判断自己是否在沙盒中运行（意味着其存在已被安全控制检测到）。如果是，它可能立即终止活动，以避免被企业防御系统标记。

其代码可能使用字符串加密和混淆技术来防止被静态分析工具检测。此类解密在内存中完成，使其仅在短时间内可见。这使得基于签名的检测变得困难。

窃取器开始收集（通常仍在内存中）其设计要收集的任何数据——基本上是设计者认为最容易变现的任何数据。凭证是主要目标，包括网站密码、企业凭证（VPN、RDP、VNC、webmail）、SaaS 登录信息、云平台凭证、电子邮件账户、密码管理器存储以及可能包含姓名、电话号码和电子邮件地址等存储个人信息的自动填充数据。

它还可能窃取浏览器 Cookie、活跃会话令牌以及云/SaaS 会话工件。窃取器会寻找任何有用的浏览器数据，包括已安装的扩展程序和用户代理。它们可能窃取能找到的任何加密货币钱包信息，如钱包种子和私钥（无论是来自浏览器还是桌面应用）；以及任何能找到的信用卡数据。

窃取器还会收集系统元数据（操作系统版本、硬件、IP 地址等）。通过将数据和元数据结合，窃取器不仅窃取身份，还窃取了上下文信息。

窃取器将数据打包到相关文件中（称为窃取器日志）。它可能压缩并加密这些文件以隐藏内容，躲避企业 DLP，然后将其发送到攻击者控制的 Web 服务器。

攻击者将日志变现；可能自己使用，但更可能将其出售给犯罪团伙。这些团伙的常见用途是利用被盗身份在未被检测到的情况下获取访问权限，在被发现和阻止之前投递并激活勒索软件。从窃取器感染到勒索赎金之间往往有一条直接且相对短暂的链条。

窃取器易于使用，难以检测或阻止，且行动贪婪。大多数受害者直到被自己被盗的凭证入侵时才意识到自己是受害者。唯一可见的迹象是威胁情报发现凭证在非法市场上被交易——但这种可见性并不能阻止你成为受害者，它只是确认了你已经成为受害者。

END

阅读推荐

【安全圈】苹果 iOS 27 测试版 Siri AI 系统提示词泄露，超 1300 行核心指令曝光

【安全圈】Instagram 再曝严重安全漏洞：扎克伯格、姆巴佩等身份信息泄露

【安全圈】员工设备遭入侵！Humanity 跨链被盗超 3600 万美元 H 代币

【安全圈】微软 GitHub 数十个开源项目遭黑客入侵，被植入窃取密码的恶意程序

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】信息窃取木马将数百万设备变成凭证盗窃机器》