Gli infostealer rappresentano oggi una delle minacce più insidiose nel panorama della cybersicurezza globale. Si tratta di software malevoli progettati specificamente per raccogliere in modo illegittimo informazioni sensibili dai sistemi compromessi, per poi trasferirle verso infrastrutture controllate dagli attaccanti.
Il primo report dedicato a questa minaccia, pubblicato dall’Agenzia per la Cybersicurezza Nazionale, evidenzia come questi strumenti siano diventati elementi abilitanti per attacchi di maggiore complessità, configurandosi come vettori primari per l’accesso iniziale a infrastrutture anche sofisticate.
Indice degli argomenti
Dati CSIRT Italia e famiglie di infostealer più attive nel 2025
L’analisi condotta dal CSIRT Italia mostra dati significativi per il contesto nazionale. Nel corso del 2025, le famiglie di infostealer maggiormente responsabili dell’esfiltrazione di credenziali appartenenti a soggetti italiani sono risultate LummaC2 con oltre 940.000 credenziali compromesse, RedLine Stealer con 634.000, DcRat con 470.000, StealC e Vidar Stealer con rispettivamente 61.000 e 60.000. A livello internazionale, LummaC2 si conferma il principale responsabile con oltre 4900 gigabyte di dati esfiltrati, seguito da RedLine Stealer con 2465,28 gigabyte.
Quali dati rubano gli infostealer e quali conseguenze per le vittime
Le informazioni raccolte dagli infostealer spaziano dalle credenziali di accesso a servizi bancari, social media e posta elettronica, fino a dati finanziari, informazioni sui portafogli di criptovalute, cookie di sessione, cronologia di navigazione ed estensioni dei browser. Vengono inoltre sottratte informazioni personali memorizzate nelle funzionalità di auto completamento, dati relativi all’hardware e software installato, contenuti della clipboard e file di specifiche tipologie.
L’avvenuta esfiltrazione espone le vittime a molteplici conseguenze: danni economici diretti, furto d’identità, accessi non autorizzati ad account personali o aziendali, violazioni della privacy, danni reputazionali, esposizione ad attacchi di social engineering particolarmente sofisticate e potenziale perdita di proprietà intellettuale.
Dallo stealer log a compromissioni più gravi
Il rischio maggiore risiede nella possibilità che i dati sottratti vengano impiegati per agevolare ulteriori compromissioni caratterizzate da livelli superiori di complessità e criticità.
L’utilizzo degli stealer log rappresenta infatti un metodo efficace ed economico per ottenere accessi non autorizzati ai sistemi target, consentendo agli attori malevoli di veicolare software malevoli aggiuntivi, inclusi ransomware, con conseguenze potenzialmente gravi quali l’interruzione dell’erogazione di servizi essenziali o la compromissione della riservatezza dei dati.
Caso studio: attacco ransomware e accesso iniziale tramite account VPN
Il caso studio presentato nel report illustra questa dinamica. Un ente operante nel settore della ricerca ha subito un attacco ransomware che ha compromesso simultaneamente l’infrastruttura server e parte delle postazioni client. L’analisi forense condotta dal CSIRT Italia ha permesso di ricostruire la catena di compromissione, identificando l’accesso iniziale in un account VPN intestato a un dipendente privo di privilegi elevati.
L’attaccante ha successivamente condotto attività di movimento laterale ed escalation dei privilegi, acquisendo il controllo completo del dominio e distribuendo il ransomware mediante Group Policy. Le attività di monitoraggio OSINT e raccolta di informazioni di Cyber Threat Intelligence hanno successivamente rivelato che le credenziali dell’account VPN risultavano incluse in un pacchetto di dati frutto dell’attività di un noto infostealer.
L’approfondimento ha permesso di accertare che il laptop personale del dipendente, utilizzato occasionalmente per accedere da remoto all’infrastruttura tramite VPN, era stato infettato dall’infostealer circa sei mesi prima rispetto all’accesso iniziale dell’attaccante.
Malware as a Service: l’ecosistema criminale degli infostealer
L’ecosistema criminale legato agli infostealer riflette le dinamiche tipiche del modello Malware as a Service, nel quale diversi attori si concentrano su specifiche fasi della catena d’attacco.
Gli sviluppatori e gli operatori dei gruppi MaaS offrono agli attori criminali, dietro pagamento di una sottoscrizione tipicamente mensile compresa tra i cinquanta e i duecentocinquanta dollari, l’accesso a infostealer già pronti all’uso, nonché servizi ausiliari quali assistenza tecnica, aggiornamenti continui, accesso a infrastrutture di comando e controllo e strumenti dedicati all’analisi degli stealer log.
Il mercato mette a disposizione una vasta gamma di infostealer che si differenziano per sistema operativo target, servizi ausiliari e funzionalità di raccolta delle informazioni.
Mercati degli stealer log: centralizzati e decentralizzati
In alternativa alla sottoscrizione, alcuni attori criminali optano per l’acquisto diretto degli stealer log messi in vendita su mercati dedicati, centralizzati o decentralizzati. I primi forniscono un punto di accesso unico con funzionalità avanzate di ricerca e filtraggio, ma risultano più esposti ad azioni di contrasto.
I mercati decentralizzati, basati su piattaforme di messaggistica come Telegram, tendono a veicolare log di valore più elevato ma risultano privi di meccanismi reputazionali. Le credenziali ottenute tramite infostealer sono spesso preferite a quelle provenienti dai data breach in quanto tipicamente più recenti e con maggiore probabilità ancora valide.
Initial Access Broker e riutilizzo degli accessi
Gli Initial Access Broker acquistano grandi volumi di log per analizzarli alla ricerca di credenziali particolarmente preziose, come quelle valide per l’accesso a infrastrutture di rete aziendali o servizi finanziari. Successivamente rivendono tali accessi, talvolta a prezzi sensibilmente superiori, ad attori criminali partner come gli operatori ransomware.
La motivazione prevalente rimane di natura economica, sebbene gli infostealer costituiscano anche un fattore abilitante per minacce più complesse la cui finalità può andare oltre la monetizzazione, come nel caso di attori Nation State che potrebbero ricorrere a questi strumenti per attività di spionaggio.
Vettori di infezione: phishing, drive-by-compromise e software contraffatto
I principali vettori d’attacco utilizzati per la distribuzione degli infostealer includono il phishing, il drive-by-compromise e la distribuzione di software contraffatto. Quest’ultimo risulta particolarmente efficace in quanto i sistemi domestici sono generalmente caratterizzati da misure di sicurezza meno strutturate e da una maggiore propensione all’utilizzo di fonti non ufficiali per il reperimento di software.
Le informazioni esfiltrate mantengono comunque un valore significativo e possono essere successivamente riutilizzate per facilitare compromissioni anche in contesti professionali.
Tendenze emergenti e misure preventive
Le tendenze emergenti evidenziano un incremento nel numero di infostealer per sistemi macOS, l’espansione del fenomeno di condivisione dei log su piattaforme cloud based, l’aumento degli infostealer capaci di raccogliere informazioni biometriche, lo sfruttamento di tecniche di intelligenza artificiale per campagne di social engineering, la persistente diffusione attraverso software e videogiochi da fonti non ufficiali e lo sfruttamento di caselle PEC compromesse.
L’adozione di misure preventive risulta fondamentale per innalzare il livello di resilienza alla minaccia, attraverso l’implementazione di autenticazione multifattoriale, l’utilizzo di gestori di password, il monitoraggio degli accessi, l’adozione di soluzioni di Endpoint Detection and Response, la formazione del personale e la predisposizione di piani di risposta agli incidenti.
