過去幾年，資訊竊取程式已成為個人和組織面臨的最普遍的惡意軟體威脅之一。資訊竊取程序是業界「2025 年網路威脅展望」報告中最常見的主題之一，並被廣泛預測在 2025 年和 2026 年將更加突出。此外，資訊竊取程序市場已證明其韌性，在執法部門的重大打擊行動中一次又一次地反彈，包括 2024 年底 Redline 資訊竊取程序的打擊行動。

最近，國際執法部門再次取得重大勝利，成功摧毀了Lumma資訊竊取程式基礎設施，擾亂了目前最大的資訊竊取程序之一的運作。雖然這是一場值得慶祝的勝利，但其對資訊竊取程式市場的影響可能不會持續太久。執法人員應該預料到，這一空白很快就會被那些雄心勃勃的網路犯罪分子填補，他們正試圖利用現有的市場空間。例如，今年稍早首次引起關注的資訊竊取程式Acreed，現在已經開始擴大其可供出售的憑證份額。

要了解資訊竊取者在網路威脅環境中扮演的核心角色，只需查閱 2024 年許多重要的網路安全媒體報道，尤其是與資料外洩相關的報告即可。去年許多最大的資料外洩事件都直接指向了透過資訊竊取者竊取的合法憑證，並將其作為初始存取媒介。

這意味著，數百萬筆記錄，例如可能包含敏感的個人財務和/或健康數據，都可能與一個簡單的暴露憑證相關聯。利用這些暴露憑證的不僅是網路犯罪分子。民族國家只需購買可用的憑證即可存取敏感目標，就像俄羅斯在 2024 年 9 月入侵荷蘭警察網路時所做的那樣。

與此入侵事件相關的組織名為「洗衣熊」（Laundry Bear），專注於從資訊竊取器日誌中購買可用的憑證，這凸顯了這些資訊竊取器感染正引起最老練的威脅行為者團體的關注。既然網路間諜組織只需10美元就能買到一把大門鑰匙，那為什麼還要浪費資源開發客戶存取工具或開發漏洞程式？

對於惡意行為者來說，這種投資回報，加上執法部門逮捕的風險相對較低（特別是對於在俄羅斯活動的威脅行為者），以及對合法憑證的高需求推動了活躍的地下市場，確保了人力和資金資源持續流入資訊竊取者的開發和進步。

這種資源投入體現在資訊竊取程序的不斷進步中，它們試圖規避防禦者設定的對策。資訊竊取程序被設計成輕量級、隱密的程序，難以偵測。根據SpyCloud的數據，2024 年上半年感染資訊竊取程式的裝置中，至少有 54% 安裝了防毒或端點偵測與回應 (EDR) 解決方案。而且，資訊竊取程序所繞過的不僅僅是 EDR 解決方案。

7 月，Google 宣佈在 Chrome 瀏覽器中引入新的安全措施，旨在為瀏覽器 Cookie 增加一層額外的保護。 Cookie 是資訊竊取者的常見目標，因為它們可以讓威脅行為者無需憑證或多因素身份驗證 (MFA) 即可登入帳戶。雖然這種額外的保護措施在理論上是一個絕妙的主意，但僅僅幾週後，資訊竊取者就開始引入有效的變通方法，使這些會話代幣再次面臨風險。這些變通方法迅速發展成為技術先進的對策，充分證明了這些組織對此類惡意軟體的能力和投入，以及其在網路威脅生態系統中的重要性。

OSINT10x的一次採訪中強調了資訊竊取程式的另一項潛在重大進展，Hudson Rock也對此進行了進一步探討：Hellcat 勒索軟體背後的惡意軟體開發者現在推出了一款新的伺服器端資訊竊取程式。到目前為止，資訊竊取程式都是客戶端的，這意味著整個惡意軟體都會被下載到受害者的機器上並在其上執行。對於伺服器端資訊竊取程序，受害者的機器只需下載幾行代碼即可在其上設置 TOR 伺服器，威脅行為者可以利用該伺服器透過 GET 請求抓取所需資訊。

所有這些使得威脅行為者能夠在受害者設備上以更低調的方式進行操作。雖然這種策略尚未被廣泛採用，但它有可能迅速傳播，並用於攻擊那些可能未配置阻止 TOR 連接的個人和中小型企業。總而言之，這些發展預示著，隨著速度成為關鍵，資訊竊取工具將持續朝著更輕、更安靜、更強大的方向發展。入侵受害者設備、在受害者設備上執行攻擊並盡可能快速、安靜地竊取資料將成為 2025 年的主流。

鑑於資訊竊取者在2025年網路威脅環境中的突出地位，您可能會問自己能做些什麼。首先，請確保您已做好基本準備，例如監控暴露的憑證、使用並更新防毒程式、為每個帳戶使用唯一密碼、使用多重身分驗證 (MFA)，以及監控重要帳戶的異常行為。

既然我們知道資訊竊取者專注於從瀏覽器中竊取 Cookie 和憑證，那麼也不要將憑證儲存在瀏覽器中。對於技術含量更高的用戶來說，阻止未經授權的 TOR 連接將有助於抵禦上述新的伺服器端惡意軟體攻擊。資訊竊取者將成為明年及可預見的未來的關鍵威脅。保護組織越有效，效果越好。