每天有1万名受害者：信息窃取者唾手可得

想象一下，你只需花费 10 美元甚至更少，甚至免费，就可以访问任何一家财富 100 强公司。这个想法很可怕，不是吗？或者说很令人兴奋，这取决于你站在网络安全屏障的哪一边。好吧，这基本上就是当今的情况。欢迎来到唾手可得的信息窃取者花园。

在过去的几年里，这个问题变得越来越严重，直到现在我们才慢慢了解到它的全部破坏潜力。在本文中，我们将描述整个网络犯罪生态系统的运作方式、各种威胁行为者利用源自其中的数据的方式，以及最重要的是，您可以采取哪些措施。

首先，我们来了解一下信息窃取恶意软件到底是什么。顾名思义，它是一种......窃取数据的恶意软件。

根据具体类型，它提取的信息可能会略有不同，但大多数会尝试提取以下内容：

加密货币钱包
银行帐户信息和保存的信用卡详细信息
保存了各种应用程序的密码
浏览记录
来自浏览器的 Cookie
下载文件列表
有关所用操作系统的信息
您的桌面屏幕截图
从文件系统抓取的文档
Telegram 和 VPN 应用程序的凭证

infostealer 日志包示例

随着恶意软件开发人员不断添加更多功能，恶意软件的内容也越来越多。您可以想象，您不希望此类信息泄露到互联网上供所有人查看。您也不希望贵组织内部系统的凭据以这种方式受到损害。然而，这正是每天发生在成千上万用户身上的事情。

您无需特别精通技术即可传播信息窃取恶意软件，也无需富有即可获取其他威胁行为者窃取的宝贵数据。让我们来看看整个生态系统是如何运作的。

您也可以成为一名网络犯罪分子！#

互联网黑暗面的一个持续趋势是专业化。虽然在过去，更常见的情况是单个个人或团体负责整个过程，但如今，通往您公司资产的道路是由许多不同的竞争威胁行为者铺就的。这些行为者只专注于“行业”的某一部分，并乐意为任何愿意付费的人提供服务，这是真正的自由市场精神。

著名的 Zeus 银行恶意软件就是“老办法”的一个例子。它是由同一群人开发和传播的。他们还利用了被盗数据，并将该犯罪企业的所有收益都归还给他们。你，一个小小的网络罪犯，根本无法利用他们的成果赚钱，甚至无法购买恶意软件本身，以便自己传播。

好吧，市场在发展。虽然仍有一些参与者完全独立运作，但进入窃取他人数据的门槛要低得多。即使作为个人，您也可以加入网络犯罪初创行业的行列。以下职位现已开放：

上述软件包中包含的桌面屏幕截图

滴管植入物开发商/安装销售商#

您将负责开发一款虽小但很重要的软件，其余“行业”通常都依赖于该软件：恶意软件投放器或加载器（如果您愿意的话）。

虽然信息窃取恶意软件文件本身由于包含许多功能而往往相当大，但恶意软件投放器只有一个目标：绕过防病毒软件并为其他参与者提供一种将自己的恶意代码下载到设备的方法。

Smoke Loader 就是此类植入程序的一个例子，它自 2011 年开始运行，至今仍在添加新功能。植入程序/加载程序开发人员要么自己利用其软件获得的访问权限，要么通过各种暗网论坛将其转售给他人，或者两者兼而有之。在暗网术语中，受感染的计算机被称为“安装”，有许多“安装服务”声称为您提供一种通过它们传播您自己的恶意软件（无论是信息窃取者、加密矿工还是其他恶意代码）的方法。通常，他们会向您保证他们只将“安装”卖给您，但根据我们的经验，情况往往并非如此，因为“安装服务”运营商会尝试最大限度地从中获利。

安装密钥投放器服务

其中一个服务是 InstallsKey，它会根据地点的不同，以不到 1 美元到 10 美元的价格将受感染的计算机（带有其自己的植入程序）卖给您。这不算便宜，但如果您知道自己在做什么，那么您很快就会收回您的“投资”。

信息窃取恶意软件开发者#

“行业”的引擎。您需要有数年的编程经验，最好对 Windows 操作系统的工作原理有充分的了解。信息窃取恶意软件通常通过上述某种植入器加载，提取各种可能有价值的信息，并通过某种形式的通信渠道将包含这些信息的包发送给攻击者。

目前市场上可买到的信息窃取恶意软件的不完整列表包括：

RedLine（已过时，但仍有人使用）
META Stealer（RedLine 的更新分支）
LummaC2
拉达曼迪斯
维达尔
浣熊窃贼（原作者被捕，但仍在使用）
瑞普
偷窃C
怪物窃贼

还有许多其他的。订阅价格从每月几十美元到几百美元不等。

LummaC2 窃取者在俄语暗网论坛上提供服务

通常，您会收到一个“生成器”应用程序，您可以使用它来创建适合您需求的 .exe 文件，通常会绕过最常见的 AV 解决方案（因此部分覆盖了 dropper 提供的功能）。根据类型，您将通过 Web 面板（自托管或提供给您）或 Telegram 接收受害者的数据。

META 窃取程序破解版现已免费提供

加密器开发者#

只需花几瓶啤酒就能绕过防病毒软件？没问题。加密器开发人员将允许您这样做，这样您就可以专注于……好吧，无论您要做什么。

自动加密服务示例

加密器是一段代码，它会以大多数常见 AV 解决方案都无法察觉的方式打包您的恶意 .exe 文件。droppers 和信息窃取程序有时已经包含某种 AV 绕过功能，但加密器会添加额外的一层，以便您可以实现更险恶的结果。

交易员团队#

对于一个孤独的黑客来说，大规模传播信息窃取者是一项艰巨的任务，所以最好与其他志同道合的人合作！这就是信息窃取者团队（或 трафферы）的用途。通过论坛和（部分自动化的）Telegram 频道/机器人组织起来，他们将为您提供一个交钥匙解决方案，以感染那些寻找 Adobe 破解或免费 Fortnite 皮肤的毫无戒心的互联网用户。对于您设法窃取的加密货币的一定比例，他们将为您提供所需的一切，从无法检测到的窃取者到创建虚假 YouTube 教程的手册，这些教程通常用于传播。

交易员团队经理#

你是一个善于与人打交道的人吗？那么你可以考虑从事交易团队经理的职业。你只需要将你选择的加密器/信息窃取器恶意软件粘合在一起，并创建一个友好的 Telegram 机器人来招募新员工。竞争很激烈，所以你应该努力做好公关工作，并尽可能给员工比他们在其他地方得到的更大的蛋糕份额。不过，如果你能说服足够多的人为你工作，这是一笔相当不错的交易。

交易员团队操作员在俄语暗网论坛上解释他们的状况

运输队传播者#

完美的入门级职位。如果你愿意学习新东西并且没有道德障碍。

选择条件最好的交易团队，使用 Telegram 机器人加入，您就可以开始了。您的工作主要是创建虚假的 YouTube 教程或诈骗页面，以说服受害者下载交易团队提供给您的信息窃取恶意软件版本。

Traffer 团队 Telegram 机器人向“工作者”提供用于信息窃取者传播的恶意文件

根据您选择的团队，您可能会获得高达 90% 的加密货币，作为奖励，有时甚至是日志本身（在您的经理将它们“设计”为流行的货币化方法之后）。您可以尝试一些其他不太常见的货币化方法，或者只是进一步转售它们，或者免费分享它们以获得邪恶同行的尊重。

日志云操作员#

从公共来源获取日志，并将其呈现为“独特”、“私人”和您自己的。获利。这通常是它的运作方式。Log Cloud 是一种服务，它每天为您提供或多或少“新鲜”的日志流（当然需要付费），通常以 Telegram 频道或持续更新的 MEGA.nz 存储的形式提供。

Telegram 上的日志云频道，提供数百万个从其他半公开来源收集的窃取日志（大部分）

这些日志通常经过许多人之手，并针对最受欢迎的请求进行“处理”，但如果您知道自己在寻找什么（也称为“独特请求”），它们可能仍然包含黄金。

HackedList.io 自动监控数百个 Telegram 频道。观察到的重复率相当高：

数量重于质量，但数量也能带来优势。一些日志云多年来积累了数 TB 的数据。

url:log:pass 经销商#

数 TB 的压缩日志意味着更多 TB 的原始材料。如果您唯一要查找的是要访问的特定站点的用户名和密码对，您甚至不需要整个日志包。因此，一个单独的“市场”部分发展起来：以 URL:login:password 格式销售 .txt 文件的经销商，这些文件由标准日志包创建。现在，它不再以 TB 为单位，而是以 GB 为单位，您可以使用 grep 等标准实用程序轻松搜索它。

url:log:pass 服务广告示例

除此之外，url:log:pass 经销商的运营方式与日志云运营商完全相同，只是他们必须存储和处理的数据更少。还有其他服务，以网站和 Telegram 机器人的形式存在，允许您搜索它们，因此您甚至不必知道如何使用 grep 或从哪里获取此类日志。

Telegram 上的自动 url:log:pass 经销商机器人

自动化市场运营商#

想要真正独特且私密的日志？请访问自动化日志市场网站！它会贵得多（是的，日志云提供的服务好得令人难以置信），但您有机会成为第一个（好吧，第二个或第三个，但这仍然公平）拥有该日志的人。

俄罗斯市场，目前最大的自动化暗网市场，你可以从中获取信息窃取者的日志

只需花费 10 美元或更少的费用，威胁者便可获得此类平台上的各种访问权限，而且还有一个额外的好处，即此类日志至少在一段时间内将完全属于他们。过去，有三个主要市场同时运营。在 Genesis.Market 在一次国际执法行动中被取缔，2Easy 市场开发被放弃后，只剩下一个主要参与者：臭名昭著的俄罗斯市场。截至今天（2024 年 7 月 13 日），它有 7,266,780 条记录可供出售，平台上已经售出了数量不详但肯定很大的日志。

初始访问代理#

在通过日志云或自动化市场获得的 TB 级数据中寻找有效且有价值的信息就像大海捞针。但如果你设法找到它，它可以为你带来一大笔钱。这就是初始访问代理介入的地方。他们寻找通过信息窃取者感染获得的（仍然）有效的凭证，并使用它们在受感染的网络中建立立足点。然后，他们将这些卖给任何愿意付钱的人，通常是勒索软件团伙等威胁行为者。

以下是来自著名暗网论坛的一个例子：

对 HackedList.io 的快速检查显示，OWA 访问很可能源自信息窃取漏洞：

机会主义脚本小子#

有勒索软件团伙、APT、熟练的初始访问代理，当然还有脚本小子：无聊的年轻人，他们想快速赚钱或只是想在互联网上制造混乱。

信息窃取程序感染后公开（或低价）获取的数据为他们提供了绝佳工具，让他们能够以极少的知识造成大量破坏。您无需了解任何编程知识，因为其他人已经编写了窃取程序。您无需知道如何传播它，因为其他人已经知道了。您甚至无需手动尝试获取的凭据来验证它们是否有效，因为，是的，您猜对了，其他人已经创建了一个工具来为您完成此操作。因此，您只需摘取唾手可得的果实并造成破坏即可。

用于检查信息窃取者日志中包含的凭证有效性的工具示例

不，我们说的不是接管 Minecraft 或 Discord 服务器。LAPSUS$ 是一个由 16 至 21 岁青少年组成的黑客组织，他们成功从视频游戏发行巨头 Electronic Arts 窃取了 780 GB 的数据。Uber 黑客攻击事件也由同一个组织发起，他们通过外部承包商的受感染账户获取访问权限。在这两起案件中，根本原因都是信息窃取程序感染。