Infostealers 即服务推动身份窃取攻击创新高

根据 eSentire 近期发布的一份报告，信息窃取类恶意软件（Infostealer）和高级钓鱼工具包（Phishing Toolkit）的激增，导致针对用户登录凭证和身份信息的攻击数量同比暴涨 156%。这些攻击不仅影响企业办公室员工，也波及大量远程办公用户。

攻击手法持续进化：PhaaS 和 AitM 技术广泛应用

此次报告强调，钓鱼即服务（Phishing-as-a-Service, PhaaS） 平台是身份攻击激增的关键因素。此类平台通过“即插即用”的方式，允许技术水平较低的攻击者以每月仅 200~300 美元的价格，发起针对 Microsoft 365、Google Workspace 等主流平台的高仿钓鱼攻击。

典型工具如 Tycoon 2FA 利用“中间人攻击（Adversary-in-the-Middle, AitM）”技术，不仅能实时截获用户登录凭证，还可窃取会话 Cookie 与 MFA（多因素认证）令牌，迅速绕过身份验证流程。这类攻击通常在几分钟内完成，造成严重后果。

身份盗用背后的犯罪链条

被盗凭证和 Cookie 常用于：

• 商业电邮泄露（BEC）：同比增长 60%，2025 年第一季度占比高达 41%

• 加密货币盗窃：通过热钱包会话劫持实现转账

• 非法访问企业 SaaS 系统，实现内部渗透或间接供应链攻击

攻击平台分布与新兴恶意软件

• 据统计，78% 的 PhaaS 平台托管在美国，尽管攻击者可能分布于全球。

• 除现有主流工具如 Lumma Stealer 外，新型信息窃取器 Acreed 自 2025 年 2 月首次出现，现已成为黑市交易的热门工具，特别是在 Lumma 基础设施被执法部门打击后迅速崛起。

• Menlo Security 2025 年发布的浏览器安全报告指出，浏览器已成为主要攻击面，去年发生逾 75 万起浏览器钓鱼攻击，波及 800 余家企业，同比增长 140%。