2023年信息窃取者数量激增

关键要点

2023年第一季度，信息窃取者事件较去年同期增长超过一倍。信息窃取者主要针对Windows、Linux和macOS平台。许多恶意软件作者利用Telegram进行指挥控制和数据外泄。RedLine窃取者在黑市中占有56的市场份额。信息窃取者的价格在网络犯罪论坛上通常在每月200到300美元之间。

近年来，信息窃取者的活动急剧增加，2023年第一季度的信息窃取事件数量较去年同期增加了一倍，攻击的主要平台包括Windows、Linux和macOS。

根据Uptycs在2023年7月26日发布的研究报告，大多数信息窃取者的作者使用Telegram作为指挥控制C2和数据外泄的平台。这些信息窃取恶意软件的目标是获取敏感信息，如密码、登录凭证和其他个人数据。收集到数据后，窃取者将数据发送到威胁行为者的C2系统。

Uptycs在暗网的研究显示，RedLine已经成为市场上最突出的信息窃取者，市场份额为56，其次是Raccoon15和RecordBreaker窃取者。新兴的Meta11、Vidar10、Cryptbot和AZORult等也是2022年使用的其他信息窃取工具。

一元机场节点购买

信息窃取者主要在网络犯罪论坛上销售。除了在Telegram上销售外，它们的日志也在其他即时通讯平台如Discord上出售。窃取者和日志的价格通常在每月200到300美元之间，或者约1000美元的终身订阅。

根据Uptycs的说法，在众多攻击中，2022年的一起攻击事件特别突出，针对的对象是Uber的系统。一名威胁行为者使用Raccoon信息窃取者突破了这家共享乘车公司的防御，发送了一条假的双因素认证通知，诱使受害者点击链接以验证请求。一旦用户的系统被攻陷，攻击者便利用公司的VPN访问内部网络资源。在获取Uber的访问管理服务后，他们提升了账户权限，并声称访问了多个Uber资源，包括AWS、Duo、GSuite、OneLogin、Slack、VMware以及Windows。

信息窃取者的崛起与勒索有什么关系？

Tanium的首席安全顾问Timothy Morris表示，信息窃取者的恶意软件之所以繁荣，可能是因为勒索活动的蓬勃发展。他指出，勒索活动比勒索软件更有利可图，也更简单。“大多数人将勒索理解为将企业的数据作为人质，或者在勒索软件攻击期间或之后威胁泄露被盗数据，”Morris解释说。“这通常是第二层次的勒索。第三层则是威胁泄露被窃取数据中涉及的个人或实体的信息。这种第三层的勒索可以通过简单地盗取信息来实现，而信息窃取恶意软件对此非常擅长，且技术成熟。”

尽管的信息窃取恶意软件的数量正在增加，但Vulcan Cyber的高级技术工程师Mike Parkin指出，总体的网络犯罪活动也在上升。他表示，这种信息窃取者的增加是否会成为整体趋势，或者相对于其他如勒索软件和间谍软件等恶意软件的活动波动，或是这一特定威胁的真正增加，目前很难通过进一步的研究来确定。

“预测恶意软件如何随时间演变总是很困难，不过可以肯定的是，用户本身的攻击将继续成为重中之重，”Parkin说。“从历史上看，用户错误所带来的风险往往大于技术问题。零日攻击发生时总能引起轰动，但用户每天都会因钓鱼攻击或其他社会工程攻击而中招。”