Il problema che nessuno vede finché è troppo tardi

Non fa rumore. Non blocca il computer. Non chiede riscatti. Entra, prende tutto quello che gli serve e sparisce — lasciandoti con la sensazione, qualche giorno o settimana dopo, che qualcosa non quadra. Un accesso anomalo all’email, un addebito che non ricordi, un account social che posta cose che non hai scritto.

Gli infostealer sono tra le minacce informatiche più insidiose del nostro tempo, proprio perché non si fanno notare. A differenza dei ransomware — che ti avvisano dell’attacco con una schermata di richiesta riscatto — questi malware operano nell’invisibile, con un solo scopo: raccogliere dati e rivenderli.

Questa guida è pensata per chiunque voglia capire davvero cosa sono gli infostealer, perché sono così pericolosi e — soprattutto — quali azioni concrete intraprendere per non diventare la prossima vittima.

Infostealer: definizione e contesto

Il termine infostealer identifica una categoria di software malevolo (malware) specializzato nell’esfiltrazione silenziosa di informazioni da un dispositivo infetto. Non si tratta di una novità assoluta — i primi stealer risalgono agli anni 2000 — ma negli ultimi anni sono diventati uno strumento industrializzato, distribuito come servizio (Malware-as-a-Service, MaaS) su marketplace underground e forum del dark web.

Questo significa che oggi non serve essere un hacker esperto per usare un infostealer. Chiunque può affittarne uno per pochi dollari al mese, configurarlo attraverso un pannello web intuitivo e avviare campagne di attacco su larga scala.

Il risultato? Un ecosistema criminale florido, dove i dati rubati vengono venduti in pacchetti chiamati “log” — archivi strutturati contenenti credenziali, cookie, screenshot e dati finanziari di migliaia di vittime.

Anatomia di un attacco infostealer: dall’infezione all’esfiltrazione

Per difendersi efficacemente, è utile comprendere come si articola un attacco nella pratica.

Fase 1 — L’ingresso

L’infostealer deve prima di tutto raggiungere il dispositivo. I principali canali di distribuzione includono:

Email di phishing con allegati malevoli Il vettore più classico. Un file Word con macro, un PDF con link malevolo, un archivio ZIP che contiene un eseguibile camuffato da documento. L’utente apre il file, il malware si esegue in background.

Malvertising Pubblicità online compromesse che reindirizzano a pagine che scaricano automaticamente il payload. In alcuni casi basta visitare la pagina senza cliccare nulla (drive-by download).

Software non ufficiale e contenuti piratati Crack di software commerciali, generatori di seriali, giochi piratati, plugin premium “gratis”: ambienti ideali per nascondere infostealer. Il file sembra funzionare normalmente, ma in parallelo lo stealer ha già completato il suo lavoro.

Campagne su YouTube e social media Un vettore in rapida crescita: video tutorial che promuovono software fasulli, commenti con link a “versioni gratuite” di tool professionali, DM su Discord con file o link pericolosi.

Typosquatting su repository e package manager Particolarmente rilevante per gli sviluppatori: pacchetti npm, PyPI o RubyGems con nomi quasi identici a librerie legittime che includono codice stealer nel loro codice sorgente.

Fase 2 — L’esecuzione silenziosa

Una volta avviato, l’infostealer esegue una serie di operazioni in rapida sequenza:

• Si inietta in processi di sistema legittimi per mascherarsi
• Disabilita o aggira gli strumenti di sicurezza attivi
• Individua e copia i database del browser (file SQLite con credenziali cifrate)
• Decifra le credenziali usando le API native del sistema operativo (su Windows usa principalmente DPAPI — Data Protection API)
• Raccoglie cookie di sessione, cronologia, dati di compilazione automatica
• Cerca file con estensioni specifiche (.txt, .pdf, .doc, .key, .wallet)
• Cattura screenshot dello schermo corrente
• Cerca wallet di criptovalute (MetaMask, Exodus, Electrum, ecc.)

Il tutto può avvenire in meno di 60 secondi dall’esecuzione.

Fase 3 — L’esfiltrazione

I dati raccolti vengono compressi e inviati a un server remoto controllato dall’attaccante. I canali preferiti includono:

• Bot Telegram: rapidi, difficili da bloccare, con pannelli di controllo intuitivi
• Server C2 dedicati: infrastrutture custom, spesso ospitate su hosting bulletproof
• Discord Webhooks: usati soprattutto nelle campagne che colpiscono i gamers

I dati arrivano strutturati in cartelle organizzate per browser, sistema operativo, paese e tipologia. Pronti per essere venduti.

Il mercato dei log stealer: quanto valgono i tuoi dati

Per capire la portata del fenomeno è utile guardare all’economia che ci ruota attorno.

I dati rubati dagli infostealer vengono commercializzati su marketplace underground come Russian Market, 2easy o (prima della sua chiusura) Genesis Market. I prezzi variano in base alla qualità del log:

• Un log base con credenziali di qualche sito minore può valere meno di 1 dollaro
• Un log con accesso a conti bancari, credenziali aziendali o wallet crypto può valere centinaia o migliaia di dollari
• I log di account con accesso a infrastrutture cloud (AWS, Azure, GCP) sono tra i più ricercati dagli attori che preparano attacchi ransomware successivi

Sì, hai letto bene: gli infostealer sono spesso il primo anello di una catena di attacchi più complessa. Le credenziali rubate oggi possono diventare il punto d’ingresso per un attacco ransomware a un’azienda domani.

Tipologie di dati a rischio: un inventario completo

È importante avere chiaro esattamente quali informazioni sono nel mirino di un infostealer:

Credenziali di accesso Tutte le coppie username/password salvate nei browser o nei client email. Email, banking online, e-commerce, social media, piattaforme di lavoro (Slack, Teams, Jira, GitHub).

Cookie di sessione Forse il dato più pericoloso: i cookie di sessione permettono all’attaccante di accedere ai tuoi account senza conoscere la password e senza il codice 2FA, semplicemente importandoli nel proprio browser. Questa tecnica viene chiamata “cookie hijacking” o “pass-the-cookie”.

Dati finanziari Numeri di carta di credito, IBAN, dati PayPal, credenziali di conto corrente online.

Criptovalute Seed phrase (le 12/24 parole che danno accesso al wallet), chiavi private, file keystore. Una volta rubate, le criptovalute sono irrecuperabili.

Dati professionali Chiavi SSH, token API, file .env, credenziali di database, accessi VPN. Particolarmente preziosi perché possono dare accesso a infrastrutture aziendali intere.

File personali Documenti d’identità scannerizzati, contratti, note con password scritte a mano, database di password locali non cifrati.

Infostealer più attivi: il panorama attuale

Il mercato degli infostealer evolve rapidamente. Tra i malware più attivi e documentati:

LummaC2 — Considerato da molti analisti uno degli stealer più avanzati in circolazione. Aggiornato frequentemente, con tecniche sofisticate per eludere i sandbox di analisi. Particolarmente attivo nel colpire sviluppatori attraverso campagne di typosquatting e fake CAPTCHA.

Redline Stealer — Longevo e popolare, disponibile a prezzi accessibili come MaaS. Colpisce browser, client FTP, VPN, wallet e client email. Uno dei più documentati dalle aziende di threat intelligence.

Vidar — Derivato dal codice di Arkei, con forte focus sul furto di wallet crypto e cattura screenshot. Spesso distribuito attraverso malvertising su Google e Bing.

StealC — Modulare e configurabile, apprezzato dai criminali per la flessibilità. Distribuito spesso in bundle con altri malware.

Raccoon Stealer v2 — Tornato operativo dopo l’arresto del presunto sviluppatore, con una versione rinnovata e capacità migliorate.

Strategie di difesa: dal basics all’avanzato

Vediamo ora come costruire una difesa solida, organizzata per livelli di complessità.

Livello base — Le fondamenta che tutti devono avere

Aggiorna sempre tutto Sistema operativo, browser, antivirus, applicazioni. La maggior parte delle infezioni sfrutta vulnerabilità note in software non patchati. Gli aggiornamenti automatici sono tuoi amici.

Non salvare password nel browser Smettila subito. I database del browser sono il primo obiettivo di ogni infostealer. Usa un password manager dedicato: Bitwarden (gratuito e open source), 1Password, KeePassXC. Le tue credenziali saranno cifrate con una master password che non transita mai in chiaro.

Abilita il 2FA su tutti gli account importanti Email, banking, social media, cloud storage. Preferisci un’app TOTP (Aegis su Android, Raivo su iOS) all’autenticazione via SMS. Per gli account più critici considera una chiave hardware fisica come YubiKey.

Non scaricare software da fonti non ufficiali Nessun crack, nessun keygen, nessun software “gratis” di dubbia provenienza vale il rischio. Usa sempre i siti ufficiali degli sviluppatori o store verificati.

Livello intermedio — Protezione attiva

Installa un antivirus con protezione comportamentale Non basta un antivirus basato solo su firme. Scegli una soluzione che analizzi il comportamento dei processi in tempo reale. Windows Defender (aggiornato) è un buon punto di partenza; Malwarebytes Premium, ESET o Bitdefender offrono protezione aggiuntiva. Esegui scansioni periodiche anche se non sospetti nulla.

Usa profili browser separati per contesti diversi Lavoro, banking, social media: un profilo diverso per ogni contesto. Se un profilo viene compromesso, gli altri restano isolati. Considera browser diversi per uso diverso (es. Firefox per il lavoro, Chrome per il personale).

Monitora il dark web Usa servizi come HaveIBeenPwned per sapere se la tua email compare in breach noti. Molti password manager includono questa funzione. Se ricevi un avviso, cambia immediatamente le credenziali coinvolte.

Revoca regolarmente le sessioni attive Accedi alle impostazioni di Google, Apple ID, Facebook, Microsoft e controlla i dispositivi e le sessioni attive. Se vedi qualcosa di strano, revoca tutto e cambia password.

Livello avanzato — Per chi gestisce dati sensibili o sistemi aziendali

Implementa una soluzione EDR (Endpoint Detection & Response) Per le aziende, un antivirus classico non è sufficiente. Le soluzioni EDR (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint) monitorano continuamente il comportamento degli endpoint e riescono a rilevare attività sospette anche di malware zero-day.

Adotta il principio del minimo privilegio Ogni utente e ogni applicazione deve avere accesso solo alle risorse strettamente necessarie. Un infostealer che gira sotto un account con privilegi limitati fa molto meno danno di uno che opera con diritti di amministratore.

Proteggi i segreti degli sviluppatori Mai hardcodare chiavi API, token o credenziali nel codice. Usa variabili d’ambiente, secret manager (HashiCorp Vault, AWS Secrets Manager, GitHub Secrets) e assicurati che i repository siano privati. Attiva il GitHub Secret Scanning e il push protection.

Forma il tuo team Il 90% delle infezioni inizia con un errore umano. La formazione periodica sulla sicurezza — con simulazioni di phishing incluse — è uno degli investimenti con il ROI più alto in ambito cybersecurity.

Segmenta la rete Se un dispositivo viene infettato, la segmentazione di rete limita la capacità dell’attaccante di muoversi lateralmente verso altri sistemi.

Caso pratico: come un infostealer ha compromesso un’intera azienda

Per rendere concreto il rischio, ecco uno scenario realistico basato su dinamiche d’attacco documentate.

Marco è un developer freelance che collabora con una PMI. Sta cercando un plugin per il suo IDE e trova un risultato sponsorizzato su Google che sembra legittimo. Scarica il file, lo installa — sembra funzionare. In background, nel giro di 30 secondi, uno stealer ha copiato tutte le sue credenziali salvate su Chrome: inclusi i token di accesso al repository GitHub dell’azienda e le credenziali AWS.

Il giorno dopo, gli attaccanti accedono al repository, clonano il codice sorgente, trovano altre chiavi API hardcodate, accedono all’infrastruttura cloud e in pochi giorni esfiltrano i dati dei clienti dell’azienda. La PMI riceve poi una richiesta di riscatto.

Tutto è partito da un download apparentemente innocuo e da credenziali salvate nel browser.

Domande frequenti sugli infostealer

Gli infostealer colpiscono anche Mac e Linux? Sì. Sebbene Windows rimanga il target principale per ragioni di diffusione, esistono varianti di infostealer per macOS (come Atomic Stealer / AMOS) e in misura minore per Linux. Nessuna piattaforma è immune.

Il 2FA protegge completamente dagli infostealer? Parzialmente. Il 2FA protegge dal riutilizzo delle password, ma non dai cookie hijacking: se un attaccante ruba un cookie di sessione attivo, può accedere all’account senza password né codice OTP. Per questo le sessioni vanno monitorate e revocate regolarmente.

Il mio antivirus è sufficiente? Dipende. Gli infostealer più recenti usano tecniche di evasione avanzate. Un antivirus aggiornato con protezione comportamentale è necessario ma non sufficiente: va combinato con comportamenti sicuri e strumenti aggiuntivi.

Come faccio a sapere se sono già stato infettato? I sintomi non sempre sono evidenti. Segnali da monitorare: accessi anomali agli account, addebiti non riconosciuti, amici che ricevono messaggi strani da te, notifiche di cambio password non richiesto. Esegui scansioni periodiche con Malwarebytes anche in assenza di sintomi.

Sicurezza digitale come abitudine quotidiana

Gli infostealer ci ricordano che la sicurezza digitale non è uno stato che si raggiunge una volta per tutte — è una pratica continua. Il panorama delle minacce evolve, i malware diventano più sofisticati, i vettori di attacco si moltiplicano.

La difesa più efficace non è un singolo strumento, ma una combinazione di consapevolezza, abitudini corrette e tecnologia adeguata. Inizia oggi: aggiorna il sistema, installa un password manager, attiva il 2FA sugli account critici. Ogni passo riduce concretamente la tua esposizione al rischio.

La tua sicurezza digitale vale più di qualsiasi comodità a cui potresti dover rinunciare.