Questi malware sono progettati per sottrarre dati sensibili dalle vittime senza che queste se ne accorgano, operando in modo silenzioso e subdolo. L’analisi.
Gli infostealer rappresentano una delle minacce più insidiose nel panorama della sicurezza informatica contemporanea. Questi malware sono progettati per sottrarre dati sensibili dalle vittime senza che queste se ne accorgano, operando in modo silenzioso e subdolo.
La loro storia è strettamente legata all’evoluzione dei malware in generale, che ha visto un progressivo affinamento delle tecniche di attacco e un aumento della sofisticazione degli strumenti utilizzati dai cybercriminali. La loro evoluzione è stata fortemente influenzata dall’aumento della digitalizzazione e dalla proliferazione dei servizi online.
Con l’espansione dell’uso di internet e delle transazioni digitali, i cybercriminali hanno trovato nuove opportunità per sfruttare le vulnerabilità (e talvolta l’ingenuità) degli utenti. Gli infostealer possono essere installati attraverso attacchi di phishing, download di software infetti o visitando siti web compromessi. Una volta infiltrati nel sistema della vittima, questi malware operano in modo furtivo, spesso senza lasciare tracce evidenti della loro presenza e talvolta cancellando completamente le tracce del loro passaggio.
Infostealers e DarkWeb
Un aspetto cruciale del fenomeno degli infostealer è l’ecosistema underground che li sostiene. I mercati neri nel deep/dark web offrono piattaforme per la vendita e lo scambio di dati rubati. Molti forum e gruppi clandestini sono noti per la vendita di log di dati ottenuti da infostealer, con milioni di credenziali disponibili per l’acquisto. Basti pensare che la sola raccolta log di Dicembre 2024 per la famiglia Lumma (un infostealer abbastanza diffuso) pesa ca 45GB in formato compresso (.rar).
Questi mercati non solo facilitano la distribuzione delle informazioni rubate, ma offrono anche servizi di abbonamento per l’accesso a server di comando e controllo (C2) gestiti dai creatori / operatori di tali minacce.
Tale rete di supporto consente inoltre ai cybercriminali di specializzarsi ulteriormente nelle loro operazioni. Alcuni gruppi offrono infostealer come servizio, permettendo anche ai meno esperti di accedere a strumenti avanzati senza dover sviluppare il proprio malware.
Va tuttavia specificato che l’ecosistema degli infostealers comprende varie figure criminali che a diversi livelli interagiscono con esso; Alcuni attori di minaccia più strutturati, per esempio, costruiscono i loro propri infostealers da utilizzare privatamente in congiunzione ad altri tools o in campagne di diffusione generiche.
Un esempio recente è una nuova variante infostealer, che ho personalmente analizzato, associata con probabilità al gruppo Sality (dal nome della botnet che il gruppo mantiene). Essa utilizza i file di sistema pagefile.sys e hiberfil.sys per raccogliere informazioni e dati sensibili nel contesto del sistema vittima ed è stata osservata essere diffusa proprio da agenti della botnet Sality. Questo rappresenta un ottimo esempio di infostealer sviluppato privatamente, non destinato alla vendita come “servizio” ed utilizzato in congiunzione ad altri agenti malware proprietari. Altri attori sviluppano infostealers da vendere in modalità M-a-a-S (Malware-as-a-Service) mentre altri ancora si specializzano nelle campagne di phishing mirate a compromettere quanti più dispositivi possibile. Infine, ci sono gli “utenti” finali che sfruttano i dati rubati.
Queste tre categorie di criminali operano generalmente in modo autonomo, senza formare un gruppo unico ma mantenendo strette relazioni commerciali tra di loro. Gli operatori che realizzano gli attacchi generalmente non utilizzano mai i dati rubati; al contrario, mettono in vendita vaste banche dati di informazioni raccolte su forum underground, dove altri criminali possono acquistarle e cercare dati specifici.
Gli acquirenti spesso si concentrano sull’estrazione di account di gioco, dati di carte di credito mentre altri ancora sugli account di accesso a sistemi aziendali. Questi ultimi hanno acquisito, negli ultimi anni, molta rilevanza in quanto rappresentano un metodo furtivo e molto efficace per infiltrarsi in un’organizzazione, acquisire dati sensibili e/o rilasciare ransomware al fine di chiedere riscatti.
I moderni Infostealers
Gli infostealer sono programmi malevoli che vengono installati generalmente in modo opportunistico su qualsiasi dispositivo accessibile da attori malintenzionati. Il loro intento finale, come accennato in precedenza, è quello di sottrarre informazioni sensibili di vario genere. Il loro principale scopo è la raccolta di credenziali di accesso, credenziali dei portafogli di criptovalute, dati delle carte di credito e cookies di sessione del browser.
Questi cookie possono essere sfruttati per prendere il controllo di una sessione utente in un servizio online. In pratica, se la vittima è autenticata su un account nel browser, un attaccante può copiare i cookie su un altro computer e accedere all’account senza nemmeno conoscere le credenziali della vittima. Alcuni modelli avanzati utilizzano il riconoscimento ottico dei caratteri per estrarre testi da file immagine JPG (come foto di password e dati finanziari). Tutti i dati raccolti vengono inviati a un server di comando e controllo (C2), dove vengono conservati in attesa di essere rivenduti nel deep/dark web.
Negli ultimi anni, si sono registrati significativi progressi tecnici nel campo degli infostealer, tra cui nuovi metodi per estrarre dati dallo storage protetto dei browser, architetture modulari per raccogliere nuovi tipi di informazioni da computer già compromessi e l’evoluzione verso un modello di servizio per la distribuzione di questo tipo di malware. Il mercato del cybercrimine richiede infostealer altamente versatili, capaci di rubare dati da numerosi browser, portafogli di criptovalute ed applicazioni popolari.
Tra i canali più comuni per la distribuzione degli infostealer ci sono lo spam e il phishing, la pubblicità malevola e il SEO Poisoning. Oltre a campagne che utilizzano infostealer dotati di software piratato o cheat per giochi, questo tipo di malware può anche essere installato sotto forma di aggiornamenti per browser o antivirus, così come applicazioni per videoconferenze.
Come proteggersi
Proteggersi dagli infostealer richiede un approccio integrato che combina misure preventive e reattive, essenziali per ridurre il rischio di compromissione dei dati. Poiché questi malware operano in modo subdolo, spesso senza che l’utente se ne accorga, è fondamentale adottare una strategia di sicurezza multilivello.
Una delle prime misure da adottare è l’uso di password robuste e l’implementazione dell’autenticazione a due fattori (2FA). Questi strumenti aggiungono un ulteriore livello di sicurezza, rendendo più difficile per gli attaccanti ottenere accessi non autorizzati. È importante evitare di memorizzare password e credenziali nel browser; invece, si consiglia di utilizzare un gestore di password per conservare e gestire in modo sicuro le informazioni sensibili.
Un altro aspetto cruciale è mantenere sempre aggiornati i software antivirus e le applicazioni installate. Assicurarsi che il proprio sistema operativo e i browser siano costantemente aggiornati aiuta a chiudere eventuali vulnerabilità che potrebbero essere sfruttate dagli infostealer. In ambito aziendale infine, è altresì consigliabile affidarsi a partner tecnologici specifici in ambito cyber intelligence, in grado di garantire ottimi tempi di notifica e reazione in caso di esfiltrazione dati oltre ad un’ottima visibilità su diverse famiglie botnet ed infostealers.
La formazione degli utenti gioca un ruolo essenziale nella prevenzione degli attacchi. Educare il personale a riconoscere email di phishing, link sospetti e allegati dannosi è fondamentale per evitare che cadano in trappole pericolose (spesso anche molto ben progettate).
Conclusioni
In un’epoca in cui la digitalizzazione permea ogni aspetto della nostra vita quotidiana, la sicurezza delle informazioni è diventata una priorità imprescindibile. Gli infostealer rappresentano una minaccia concreta e in continua evoluzione, capaci di compromettere dati sensibili e mettere a rischio la privacy degli utenti. La loro diffusione è alimentata da un ecosistema underground ben organizzato, dove attori malintenzionati collaborano e scambiano risorse per massimizzare i profitti.
Per affrontare efficacemente questa minaccia, è fondamentale adottare un approccio proattivo alla sicurezza. Ciò implica non solo l’implementazione di misure tecniche, come l’uso di password robuste e software antivirus aggiornati, ma anche la formazione continua degli utenti per riconoscere e prevenire attacchi di phishing e altre tecniche di ingegneria sociale.
Inoltre, le organizzazioni dovrebbero investire in soluzioni di monitoraggio avanzate per rilevare tempestivamente attività sospette e rispondere in modo adeguato a potenziali violazioni.
Infine, la consapevolezza dei rischi associati agli infostealer e l’adozione di comportamenti responsabili online possono fare la differenza nella protezione dei dati personali e aziendali.
English (US)