Sebbene i ransomware continuino ad attirare l’attenzione mediatica, nel 2024 sono stati gli infostealer a imporsi come protagonisti silenziosi della scena malware. Difficili da rilevare, questi software malevoli non puntano a danneggiare i sistemi, bensì a sottrarre informazioni sensibili in modo furtivo, diventando così un tassello fondamentale delle operazioni di cybercrime moderne.

Con l’evoluzione dell’ecosistema cybercriminale, sempre più specializzato e strutturato, anche gli infostealer hanno compiuto un salto di qualità in termini di efficacia e complessità. Oggi rappresentano il punto d’ingresso ideale per compromettere intere reti aziendali, colmando il divario tra compromissioni di basso profilo e infiltrazioni ad alto impatto.

Cosa sono gli Infostealer e come funzionano?

Gli infostealer sono una famiglia di malware progettata per sottrarre in modo furtivo credenziali salvate nei browser, cookie di sessione, wallet per criptovalute, informazioni di sistema e persino screenshot. Si diffondono principalmente attraverso phishing, malvertising o software contraffatti e, una volta attivati, esfiltrano rapidamente i dati verso server remoti – spesso nel giro di pochi minuti. La loro azione silenziosa e invisibile li rende particolarmente insidiosi: il rilevamento è difficile, la risposta spesso tardiva.

Il successo degli infostealer non dipende solo dalla loro efficacia tecnica, ma anche dalla capacità di diffondersi su larga scala. Molte campagne seguono un approccio “spray-and-pray”, colpendo dispositivi personali che successivamente vengono utilizzati per accedere a sistemi aziendali. Secondo ricerche recenti, oltre il 70% delle infezioni interessa endpoint personali non gestiti: un pericolo concreto per ogni organizzazione che adotta policy BYOD.

Dai log al ransomware: perché rappresentano una minaccia reale

Nella catena del cybercrime, gli infostealer rappresentano un anello chiave: non causano distruzione immediata, ma preparano il terreno per attacchi di grande impatto. I dati che riescono a sottrarre – soprattutto credenziali – costituiscono spesso la porta d’ingresso per accessi non autorizzati, compromissioni di VPN e furti d’identità. Ricerche recenti mostrano che, nel 90% dei casi di compromissione aziendale, le credenziali erano già state sottratte e presenti nei log di infostealer prima dell’attacco vero e proprio.

Tra le risorse più preziose raccolte figurano i token di sessione, che consentono agli attaccanti di accedere direttamente agli account, bypassando sia le credenziali sia i meccanismi di autenticazione a più fattori. Se venduti mentre sono ancora validi, garantiscono accesso immediato a servizi cloud, e-mail e strumenti aziendali. Questi log, spesso distribuiti su Telegram o nel Dark Web per poche decine di dollari, alimentano un mercato illecito in continua crescita, che sostiene frodi finanziarie, furti di identità e campagne ransomware: tasselli di un ecosistema cybercriminale altamente redditizio.

L’economia degli Infostealer-as-a-Service

Gli infostealer si diffondono seguendo il modello Malware-as-a-Service (MaaS), che consente a cybercriminali e affiliati di noleggiare strumenti come RedLine, StealC o Lumma ad un costo mensile compreso tra i 150 e i 250 dollari. L’offerta include supporto tecnico, aggiornamenti costanti e pannelli di controllo semplici da usare, ideali per gestire campagne malevole e analizzare i dati esfiltrati.

Una volta attivi, gli infostealer generano log che vengono automaticamente organizzati, classificati e distribuiti tramite dashboard in tempo reale o bot su Telegram. Questo livello di automazione permette agli attaccanti di sfruttare in tempi rapidissimi token di sessione, credenziali e dati finanziari – spesso entro pochi minuti dall’infezione.

A questo punto entrano in gioco gli Initial Access Broker (IAB): acquistano i log, identificano i bersagli più redditizi e rivendono l’accesso a gruppi ransomware. Il risultato è una filiera criminale altamente strutturata, in cui gli infostealer rappresentano il punto di partenza per violazioni su larga scala.

Difendersi dagli infostealer: cosa serve davvero

Contrastare gli infostealer richiede molto più di una semplice protezione antivirus: servono visibilità completa, rapidità di risposta e un solido coordinamento operativo. In questo contesto, un SOC moderno gioca un ruolo cruciale, orchestrando le attività di rilevamento, risposta agli incidenti e analisi contestuale per individuare e contenere le minacce in modo tempestivo.

Le piattaforme SIEM ed EDR/XDR sono progettate per rilevare comportamenti anomali, come attività insolite del browser o traffico in uscita verso infrastrutture C2 note. Tuttavia, il rilevamento da solo non è sufficiente: le aziende devono puntare su un’observability trasversale, che permetta di correlare la telemetria degli endpoint con i comportamenti legati a identità, rete e ambienti cloud. Solo così è possibile intercettare le infezioni nelle fasi iniziali, prima che le credenziali sottratte vengano sfruttate per compromettere sistemi e dati sensibili.

Per ridurre l’esposizione al rischio, è fondamentale rafforzare le policy BYOD, proteggere lo storage del browser e ottimizzare la gestione delle sessioni, ad esempio implementando la scadenza automatica dei token e la revoca dei cookie. Queste misure risultano particolarmente importanti considerando che la maggior parte delle infezioni da infostealer ha origine su dispositivi personali non gestiti.

Le organizzazioni dovrebbero inoltre concentrarsi sul rafforzamento dei controlli di accesso, garantendo che i sistemi aziendali e le piattaforme SaaS siano accessibili solo da dispositivi attendibili e conformi alle policy di sicurezza. Limitare l’accesso in base alla postura del dispositivo può ridurre in modo significativo il rischio che un endpoint compromesso diventi un punto di partenza per una compromissione più ampia.

Infine, la formazione degli utenti resta una delle difese più efficaci. Educare i dipendenti a riconoscere e segnalare e-mail sospette, download malevoli e falsi aggiornamenti software consente di bloccare i vettori di attacco prima ancora che raggiungano i sistemi di sicurezza.

Un vettore chiave nell’ecosistema delle minacce

Gli infostealer non agiscono in modo distruttivo, ma rappresentano l’innesco silenzioso di attacchi molto più gravi. La violazione subita da Snowflake nel 2024, che ha coinvolto oltre 165 organizzazioni, è solo uno degli esempi in cui credenziali apparentemente sottratte tramite infostealer hanno aperto la strada a compromissioni su larga scala.

Il loro ruolo è centrale nell’economia del cybercrimine: facilitano l’accesso iniziale, accelerano l’esecuzione dell’attacco e alimentano l’intera filiera malevola. Man mano che diventano più automatizzati, accessibili e difficili da rilevare, la minaccia più grande non è tanto quello che rubano, ma il tipo di attacchi che rendono possibili.

Comprendere come agiscono gli infostealer significa anticipare l’origine degli attacchi moderni – ed è da lì che inizia una difesa davvero efficace.

Data source: THE STATE OF CYBER SECURITY 2025, Check Point