卡巴斯基数字足迹情报(DFI)部门的最新研究发现,超过三分之一的信息窃取器感染始于用户直接从浏览器临时文件夹运行文件,这表明用户行为仍是导致凭证被盗的关键因素。仅有32%的信息窃取器攻击采用进程注入和离地攻击技术——这些行为常见于高级恶意软件家族。
卡巴斯基数字足迹情报(DFI)的研究人员分析了2025年在暗网上发现的500万份信息窃取器日志文件。这些日志包含从受感染设备中窃取的数据,例如账户凭证、浏览器Cookie和系统元数据,同时也揭示了受感染机器上恶意文件的原始位置。
最常见的存储位置是Windows临时目录,即 C:\Users\<User>\AppData\Local\Temp\,约占所有分析案例的35%。该文件夹通常用于存储从互联网下载的文件,直到用户明确将其保存为止:相当大比例的感染发生在用户直接启动已下载文件时,攻击者并未依赖复杂的规避技术。
第二常见的位置是 C:\Windows\Microsoft.NET\Framework\,约占所有案例的32%。该路径与进程注入和离地攻击技术相关,恶意软件会利用这些技术滥用合法系统进程以逃避检测。此类行为常见于更高级的信息窃取类恶意软件家族,包括Lumma。
分析表明,感染事件通常与用户的两类高风险行为有关:从不受信任的来源下载软件,以及试图非法激活软件。许多情况下,受害者会按照威胁行为者提供的指示操作,在运行恶意文件之前禁用安全软件。这项研究显示,许多恶意文件会伪装成合法的软件安装程序、激活工具或游戏修改模组。虽然游戏模组仍然是一种常见的诱饵,但攻击者会经常采用相同的技术来分发几乎任何类型的软件。
“信息窃取器在 2025 年出现激增,感染量同比增长了59%。我们的分析表明,用户行为仍是导致许多此类安全事件的关键因素。从临时下载文件夹中执行的信息窃取器数量之多,表明用户往往在下载后立即运行它们。很多情况下,攻击者不需要复杂的技术,他们只需要说服用户运行一个文件即可,”卡巴斯基数字足迹情报专家Sergey Shcherbel表示。
卡巴斯基大中华区总经理郑启良表示:“当下信息窃取类恶意软件传播态势严峻,大量安全威胁的突破口并非复杂高级攻击手段,而是用户不安全的操作习惯。各类伪装成破解工具、游戏模组的恶意文件极易诱导用户中招,人为疏漏大幅放大数据泄露风险。企业需依托专业威胁情报筑牢全域风险监测防线,个人也要坚守安全下载习惯,不随意关停防护工具,配合多维度防护手段守护账号与隐私数据安全。“
除了行为特征外,不同信息窃取器家族之间还存在明显的命名模式差异。Lumma 倾向于使用通用的安装程序名称、.NET 混淆技术以及进程注入。而Vidar则通常以Bootstrapper.exe变体形式出现,依赖于传统的加载器。Stealc采用混合策略,既使用Licence_Version_Loader.exe这类有意义的名称,也使用随机生成的文件名。相比之下,RisePro 则显得与众不同,反复使用特定命名规则,例如 MPGPH.exe 和 MSIUpdater.exe。
完整版报告请参见这里。
为了降低感染信息窃取器的风险,卡巴斯基建议企业采取以下措施:
·采用全面的数字风险防护服务,对组织的数字资产进行监控,并在表面网、深网和暗网中检测威胁,例如使用卡巴斯基数字足迹情报服务。
·为您的信息安全专业人员提供针对您组织的网络威胁的深入洞察。最新的卡巴斯基威胁情报可在整个事件管理周期中为他们提供丰富且有意义的背景信息,并帮助他们及时识别网络风险。
为确保个人用户安全,我们建议:
·仅从官方和可信来源下载软件,避免使用盗版软件、破解工具、激活工具和非官方安装程序。
·在所有计算机和移动设备上使用强大的安全解决方案,例如卡巴斯基优选版。它会提醒您潜在的威胁并防止感染。
·安全管理敏感数据:避免将密码或恢复短语存储在相册或备忘录中;应使用专用且可信赖的密码管理器,例如卡巴斯基密码管理器。
·切勿为安装软件而关闭杀毒软件或安全防护工具,下载游戏模组、作弊程序或第三方实用工具时务必保持警惕。
·及时更新操作系统和应用程序,使用高强度密码且确保每个账户的密码各不相同,并在可能的情况下启用多因素认证。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念,卡巴斯基致力于推动行业创新,保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止,已有超过十亿台设备受到卡巴斯基的保护。
卡巴斯基确保“忠于业务”的网络安全,专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织(从小型企业到大型企业)的创新解决方案和服务,将经过验证的 AI 驱动防护技术与简单的管理和专家支持相结合。
卡巴斯基广受独立测试机构认可,并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应,并以更大的信心和自由度开展业务,从而保护客户最核心的价值。了解更多信息,请访问 www.kaspersky.com。
| 
