"Russian Market" 网络犯罪市场已成为买卖信息窃取恶意软件凭证最受欢迎的平台之一。此前，尽管 Russian Marke 已经活跃了大约 6 年，但到 2022 年才变得相对受欢迎，但 ReliaQuest 报告称，Russian Marke 最近已经达到了新的高度。人气飙升的部分原因是 Genesis Market 的关闭，造成了该领域的巨大空白。

尽管在 Russian Marke 上出售的大多数（85%）证书都是从现有资源中 " 回收 " 的，但由于其广泛的销售项目选择和低至 2 美元的日志可用性，它仍然赢得了大量的网络犯罪受众。

infostealer 日志通常是由 infostealer 恶意软件创建的文本文件或多个文件，其中包含从受感染设备窃取的帐户密码、会话 cookie、信用卡数据、加密货币钱包数据和系统分析数据。

每个日志可能包含数十甚至数千个凭据，因此被盗凭据的总数可能达到数亿甚至更多。一旦收集到，日志就会被上传到攻击者的服务器上，在那里它们被收集起来用于进一步的恶意活动，或者在 Russian Marke 等市场上出售。

市场上的日志页面

信息窃取器已经成为威胁者非常流行的工具，现在有许多攻击活动以企业为目标，窃取会话 cookie 和企业凭证。

ReliaQuest 表示，俄罗斯市场也反映了这一点，61% 的被盗日志包含来自谷歌 Workspace、Zoom 和 Salesforce 等平台的 SaaS 凭证。此外，77% 的日志包含 SSO（单点登录）凭据。

研究人员解释说：" 被破坏的云账户为攻击者提供了访问关键系统的机会，并提供了窃取敏感数据的绝佳机会。"

Lumma 被迫关闭，Acreed 日渐兴盛

ReliaQuest 分析了俄罗斯市场上超过 160 万个帖子，以绘制特定信息窃取恶意软件的受欢迎程度起伏。直到最近，大多数日志都被 Lumma stealer 窃取，占 Russian Marke 上销售的所有凭证日志的 92%。

Infostealer 记录俄罗斯市场的百分比

在执法部门采取行动后，  Raccoon Stealer 倒闭，Lumma 主导了市场。然而，Lumma 也可能面临同样的命运，因为它的业务最近被全球执法部门的一次行动打断，其中 2300 个域名被查获。

此次行动的长期结果尚不清楚，Check Point 报告称，Lumma 的开发者目前正试图重建并重启他们的网络犯罪业务。

与此同时，ReliaQuests 报告称，一个名为 accord 的新信息提供商突然崛起，在 Lumma 被关闭后，它迅速获得了吸引力。据报道，在运营的第一周内，就上传了超过 4000 条日志，这反映了协议在俄罗斯市场的迅速上升。

就其目标信息而言，accord 与典型的信息窃取者并没有什么不同，这些信息包括存储在 Chrome、Firefox 及其各种衍生产品中的数据，包括密码、cookie、加密货币钱包和信用卡详细信息。

信息窃取者通过网络钓鱼邮件、"ClickFix" 攻击、高级软件恶意广告以及 YouTube 或 TikTok 视频感染用户。因此，建议人们保持警惕和良好的软件下载习惯，以避免广泛风险。