一份新报告显示，去年网络犯罪分子利用窃取信息的恶意软件造成了毁灭性的影响，窃取了敏感数据，从而引发了勒索软件、入侵以及针对供应链和关键基础设施的攻击。

Flashpoint 在周二发布的一份报告中称，去年，信息窃取者窃取了 21 亿份凭证，占所有组织被盗 32 亿份凭证的近三分之二。通过针对身份和访问权限，网络犯罪分子在 2024 年窃取的凭证比上一年增加了 33%。今年前两个月，已有超过 2 亿份凭证被盗。

Flashpoint 情报副总裁伊恩·格雷 (Ian Gray) 在一封电子邮件中表示：“信息窃取者被证明具有令人难以置信的多功能性，他们可以帮助接管账户，增加数据泄露总数，充当勒索软件的初始访问载体，以及协助利用漏洞。”

“窃取者通过窃取凭证、系统信息和浏览器数据，日益成为勒索软件活动的初始访问媒介，”Gray 表示。“这些信息还可能导致其他类型的网络攻击或恶意软件部署——使用窃取的凭证绕过安全措施、横向移动和提升权限。”

Flashpoint 研究人员去年追踪到 2300 万台主机和设备被信息窃取程序感染，其中大多数运行的是微软 Windows 操作系统。Windows 设备上近 70% 的信息窃取程序感染了企业系统。

格雷表示，一些信息窃取病毒针对的是具有更严格系统保护的 MacOS 设备，但 Windows 更大的用户群、广泛的遗留组件和成熟的恶意软件开发工具使其产品成为更具吸引力和更有利可图的目标。

Flashpoint 发现，去年有 24 种独特的信息窃取程序在非法市场上出售。其中一种名为 Redline 的程序感染了 990 万台主机，占 Flashpoint 在 2024 年观察到的所有信息窃取程序感染的 43%。

2024 年接下来的四个最猖獗的信息窃取者共感染了 700 万台主机，包括 RisePro、SteaC、Lumma Stealer 和 Meta Stealer。许多信息窃取者旨在绕过特定的安全控制并避免被发现。

2024 年 4 月，网络犯罪分子利用从至少六种信息窃取程序（包括 Vidar、RisePro、Redline、Racoon、Lumma Stealer 和 Meta Stealer）中获取的凭证，侵入了多达 165 个 Snowflake 客户环境。此次攻击泄露了数亿条敏感记录，并影响了包括AT&T、Ticketmaster、Advance Auto Parts 等大型企业。

“信息窃取者是有效的工具，因为它们成本低、易于使用和可访问性强，”格雷说。“从本质上讲，这是一种力量倍增器，因为它可以让单个威胁行为者大规模地危害一个组织，而无需他们拥有任何深厚的技术知识。”

网络犯罪分子利用信息窃取程序窃取系统信息、已保存的信用卡、加密货币钱包、自动填充信息、帐户凭据和浏览器中存储的活动会话 cookie。信息窃取程序通过常见的初始访问媒介感染设备，包括网络钓鱼、非法软件下载和次要恶意软件负载。

信息窃取者将文件目录和注册表项编目并整合为压缩文件格式，然后将数据发送到远程服务器。网络犯罪分子将这些凭据或日志打包起来，以备将来的攻击，或将窃取的数据出售给关联机构。

Flashpoint 称，去年信息窃取者的平均月费为 200 美元。“它们很容易使用，在地下论坛和暗网市场上随处可见，”格雷说。“展望 2025 年，信息窃取者很有可能会助长未来的入侵以及勒索软件攻击。”