Blog

Infostealer: cosa sono e come difendersi

Al momento stai visualizzando Infostealer: cosa sono e come difendersi

Il furto silenzioso che non vedi arrivare

Immagina di aprire il tuo laptop una mattina e scoprire che qualcuno, da qualche parte nel mondo, ha già letto le tue email, svuotato il tuo wallet di criptovalute e scaricato le credenziali salvate nel tuo browser. Nessuna finestra rotta, nessun allarme. Solo silenzio digitale.

Benvenuto nel mondo degli infostealer: una delle categorie di malware più pericolose e sottovalutate del panorama attuale della cybersicurezza.

In questo articolo scoprirai cosa sono gli infostealer, come funzionano, quali dati rubano, chi è più a rischio e — soprattutto — come puoi difenderti in modo concreto ed efficace.

Cosa sono gli infostealer

Un infostealer (letteralmente “ladro di informazioni”) è un tipo di malware progettato per raccogliere silenziosamente dati sensibili dal dispositivo infetto e trasmetterli a un server remoto controllato dagli attaccanti.

A differenza di altri malware che puntano alla distruzione (come i ransomware) o al controllo remoto del sistema, gli infostealer operano nell’ombra: il loro obiettivo è raccogliere quante più informazioni possibili senza essere rilevati, per il maggior tempo possibile.

Tra i dati tipicamente rubati troviamo:

  • Credenziali salvate nei browser (username e password di email, banking, social media, e-commerce)
  • Cookie di sessione, che consentono di impersonare l’utente senza bisogno della password
  • Dati delle carte di credito memorizzati nei browser o nei wallet digitali
  • Portafogli di criptovalute (seed phrase, chiavi private)
  • Documenti e file locali selezionati per tipologia (PDF, file di testo, fogli di calcolo)
  • Screenshot dello schermo al momento dell’infezione
  • Dati di compilazione automatica dei form
  • Cronologia e segnalibri del browser
  • Chiavi SSH, token API, file di configurazione

Una volta raccolti, questi dati vengono compressi, cifrati e inviati all’attaccante, spesso attraverso canali come Telegram, Discord o server C2 (Command & Control) dedicati.

Come funzionano gli infostealer: il ciclo di attacco

Capire il funzionamento tecnico di un infostealer è fondamentale per comprendere perché le difese tradizionali spesso non bastano.

1. Vettore di infezione

Gli infostealer raggiungono il dispositivo target attraverso molteplici vettori:

Phishing via email — Un messaggio apparentemente legittimo (finta fattura, avviso di corriere, comunicazione bancaria) contiene un allegato malevolo o un link a una pagina che scarica il malware.

Malvertising — Annunci pubblicitari compromessi su siti legittimi che reindirizzano a pagine di download malevole. L’utente non deve fare quasi nulla: in alcuni casi basta visitare la pagina.

Software piratato e crack — Uno dei vettori più classici. Keygens, crack di software commerciali e giochi piratati sono veicoli perfetti per nascondere infostealer.

Typosquatting e siti clone — Domini come “adob3.com” o “microsofft.com” inducono l’utente a scaricare installer falsi.

Social engineering su Discord, Telegram, LinkedIn — L’attaccante si spaccia per un recruiter, un collaboratore o un amico e invia un file o un link.

Pacchetti npm/PyPI malevoli — Un vettore crescente che colpisce gli sviluppatori: pacchetti open source con nomi simili a librerie popolari (typosquatting sui package manager) contengono codice infostealer.

2. Esecuzione e persistenza

Una volta eseguito, l’infostealer:

  • Si inietta in processi legittimi per eludere gli antivirus
  • Può aggiungere chiavi di registro o job scheduler per riavviarsi ad ogni boot
  • Disabilita o aggira Windows Defender e altri strumenti di sicurezza
  • Opera interamente in memoria (fileless malware) per non lasciare tracce su disco

3. Raccolta dati

Questa fase è quasi istantanea. Moderni infostealer come Redline Stealer, Raccoon Stealer, Vidar, LummaC2 o StealC sono in grado di completare l’esfiltrazione in pochi secondi.

Ogni browser installato viene analizzato: Chrome, Firefox, Edge, Brave, Opera. I database SQLite che contengono le credenziali vengono copiati e decriptati usando le API di sistema (DPAPI su Windows).

4. Esfiltrazione

I dati vengono inviati al server dell’attaccante, spesso attraverso canali cifrati. Sempre più spesso viene usato Telegram come C2: il bot riceve i log direttamente in una chat privata, rendendo l’infrastruttura difficile da bloccare.

I dati finiscono nei cosiddetti log stealer, pacchetti strutturati per paese, sistema operativo e tipologia di dato, venduti su marketplace del dark web come Genesis Market (ora sequestrato dall’FBI) o Russian Market.

Gli infostealer più diffusi nel 2024-2025

Il mercato degli infostealer è in costante evoluzione, con nuovi attori che emergono ogni anno. Ecco i più rilevanti:

Redline Stealer — Tra i più longevi e diffusi, disponibile come Malware-as-a-Service (MaaS) a prezzi accessibili. Colpisce browser, client FTP, wallet crypto e client email.

LummaC2 — Uno degli infostealer più sofisticati del momento, con tecniche avanzate di evasione e aggiornamenti frequenti. Particolarmente attivo nel colpire sviluppatori e aziende tech.

Raccoon Stealer — Popolare per la semplicità d’uso anche per attaccanti poco esperti. Dopo una pausa dovuta all’arresto del presunto sviluppatore, è tornato con una versione v2 migliorata.

Vidar Stealer — Deriva dal codice di Arkei, con funzionalità avanzate per il furto di wallet crypto e screenshot automatici.

StealC — Relativamente recente, noto per essere modulare e altamente configurabile, spesso distribuito attraverso campagne di malvertising.

Chi è a rischio: non solo le grandi aziende

Un errore comune è pensare che gli infostealer prendano di mira solo le grandi organizzazioni. In realtà, il modello MaaS (Malware-as-a-Service) ha democratizzato l’accesso a questi strumenti: chiunque può affittare un infostealer per poche decine di euro al mese.

Privati — I dati personali, le credenziali dei social network, le informazioni bancarie e i portafogli crypto sono estremamente redditizi.

Freelancer e liberi professionisti — Spesso lavorano senza protezioni aziendali strutturate, ma gestiscono dati sensibili di clienti e hanno accesso a sistemi aziendali.

PMI — Le piccole e medie imprese sono spesso il bersaglio preferito: hanno risorse sufficienti da rendere l’attacco profittevole, ma meno difese rispetto alle grandi corporation.

Sviluppatori — Sono un target privilegiato perché hanno accesso a token GitHub, chiavi API, credenziali cloud (AWS, GCP, Azure) e possono essere il vettore per attacchi alla supply chain.

Gamers — Account di Steam, Epic Games, account con skin rare o valuta virtuale sono venduti sui marketplace underground.

Come difendersi dagli infostealer: guida pratica

Passiamo alla parte più importante: la protezione concreta. La buona notizia è che con le giuste abitudini e i giusti strumenti è possibile ridurre drasticamente la propria superficie d’attacco.

1. Usa un password manager (e smetti di salvare password nel browser)

I browser sono il primo obiettivo degli infostealer, proprio perché memorizzano credenziali in database facilmente accessibili. Usa un password manager dedicato come Bitwarden, 1Password o KeePassXC. Questi strumenti cifrano le credenziali con una master password che non transita mai in chiaro sul dispositivo.

2. Attiva l’autenticazione a due fattori (2FA) ovunque

Anche se un infostealer ruba le tue password, il 2FA rappresenta una barriera aggiuntiva significativa. Preferisci le app TOTP (Google Authenticator, Aegis, Authy) rispetto agli SMS, vulnerabili al SIM swapping. Per account critici considera le chiavi hardware (YubiKey).

Attenzione però: i cookie di sessione rubati possono aggirare il 2FA. Per questo motivo le misure successive sono altrettanto importanti.

3. Mantieni tutto aggiornato

La stragrande maggioranza delle infezioni sfrutta vulnerabilità note in software non aggiornati. Aggiorna regolarmente:

  • Sistema operativo (Windows Update, macOS Software Update)
  • Browser e relative estensioni
  • Antivirus e suite di sicurezza
  • Applicazioni di terze parti

4. Installa un antivirus/EDR affidabile e aggiornato

Un buon antivirus con protezione comportamentale (non solo firma) è in grado di rilevare infostealer basandosi sul loro comportamento, non solo sulle definizioni di virus note. Soluzioni come Windows Defender (aggiornato), Malwarebytes, ESET o Bitdefender offrono livelli di protezione adeguati per gli utenti consumer. Le aziende dovrebbero valutare soluzioni EDR (Endpoint Detection & Response).

5. Diffida dei download e delle email sospette

Le regole d’oro restano valide:

  • Non aprire allegati da mittenti sconosciuti o inattesi
  • Verifica sempre l’URL prima di cliccare (attenzione al typosquatting)
  • Non scaricare software da siti non ufficiali, torrent o crack
  • Se un’email sembra urgente e ti chiede di cliccare o scaricare qualcosa, fermati e verifica attraverso un canale alternativo

6. Usa un browser con profili separati

Separa l’attività di navigazione per contesti: un profilo per il lavoro, uno per i social, uno per il banking. Se un profilo viene compromesso, gli altri restano isolati. Alcuni browser come Firefox e Chrome supportano i profili nativamente.

7. Monitora i tuoi account con servizi di allerta

Servizi come HaveIBeenPwned ti avvisano se la tua email compare in data breach noti. Attiva le notifiche per ricevere avvisi immediati. Molti password manager offrono questa funzione in modo integrato.

8. Per gli sviluppatori: proteggete i vostri segreti

Non salvare mai chiavi API, token o credenziali in file di testo o repository Git. Usa strumenti come HashiCorp Vault, variabili d’ambiente, o il secret manager del tuo cloud provider. Controlla regolarmente i tuoi token su GitHub con GitHub Secret Scanning.

9. Considera l’isolamento del browser (sandboxing)

Per attività ad alto rischio (apertura di file sconosciuti, navigazione su siti poco affidabili), usa browser o ambienti sandbox come Sandboxie, le VM o la modalità Application Guard di Windows.

10. Verifica periodicamente le sessioni attive

Controlla regolarmente le sessioni attive sui tuoi account principali (Google, Apple, Microsoft, social media). Se vedi accessi da dispositivi o posizioni sconosciute, revoca immediatamente e cambia le credenziali.

Cosa fare se sei già stato infettato

Se sospetti di aver subito un’infezione da infostealer, agisci rapidamente:

  1. Disconnetti il dispositivo da Internet — impedisci ulteriore esfiltrazione di dati.
  2. Esegui una scansione completa con Malwarebytes o un analogo strumento.
  3. Cambia tutte le password da un dispositivo pulito e diverso, iniziando dagli account più critici (email, banking, servizi cloud).
  4. Revoca tutti i token di sessione attivi su email, social media e altri servizi.
  5. Notifica la tua banca se hai dati finanziari compromessi.
  6. Valuta la reinstallazione del sistema operativo per eliminare ogni persistenza.
  7. Denuncia l’accaduto alla Polizia Postale (in Italia) e segnalalo al tuo provider di sicurezza se sei un’azienda.

La consapevolezza è la prima difesa

Gli infostealer rappresentano una minaccia reale, in continua evoluzione e accessibile anche ad attaccanti non specializzati. La velocità con cui operano — spesso pochi secondi dalla prima esecuzione — rende cruciale la prevenzione rispetto alla risposta.

La buona notizia è che la maggior parte delle infezioni può essere evitata con un mix di strumenti adeguati, comportamenti consapevoli e aggiornamenti costanti. Non serve essere esperti di cybersicurezza: serve smettere di dare per scontata la propria sicurezza digitale.

Tag: , , , , , , , , , , , ,
  • Tempo di lettura:9 min di lettura
  • Categoria dell'articolo:SITI WEB