Accade in un istante: il browser ti chiede "Vuoi salvare la password?" e tu, con un clic distratto, accetti. In quel momento, stai affidando un pezzo della tua identità a un software che consideri una cassaforte. Ma cosa succederebbe se quella cassaforte avesse un buco nel pavimento? Esiste una categoria di software malevoli che trasforma la nostra comodità quotidiana in una vulnerabilità fatale.
Secondo la tassonomia dell'Agenzia per la Cybersicurezza Nazionale (ACN), questi strumenti sono definiti infostealer: software progettati specificamente per raccogliere informazioni da un sistema informatico in modo illegittimo. Non sono virus "rumorosi" che bloccano il sistema o mostrano messaggi di riscatto; sono agenti invisibili che agiscono nel silenzio più assoluto.
ACN ha pubblicato il report " Infostealer: Caratteristiche della minaccia e raccomandazioni", che analizza in profondità la minaccia rappresentata dai malware di tipo infostealer, progettati per il furto sistematico di credenziali e dati sensibili. Il documento esplora l'intero ecosistema criminale, descrivendo come questi strumenti economici e accessibili facilitino l'accesso iniziale alle reti per attacchi più gravi, come il ransomware. Attraverso l'esame di varianti note come RedLine e Vidar, vengono illustrate le tecniche di diffusione, tra cui il phishing e il malvertising, e le gravi conseguenze per la privacy e l'economia. Una sezione specifica presenta un caso studio reale che dimostra come la compromissione di un dispositivo personale possa esporre intere infrastrutture aziendali. Infine, la guida offre raccomandazioni strategiche per cittadini e organizzazioni, mirate a rafforzare la resilienza e mitigare i rischi derivanti dall'esfiltrazione dei dati.
L'errore più comune è credere che l'obiettivo di questi malware sia limitato alle credenziali bancarie. Gli infostealer moderni operano invece come "aspirapolvere digitali" capaci di mappare l'intera vita, privata e professionale, della vittima. Oltre alle password, il malware mira a:
Cosa succede? Memorizzando tutto nei browser, creiamo di fatto una "chiave universale" per la nostra identità. Il furto di tutti questi dati non è solo un danno alla privacy, ma un rischio concreto di perdita di dati e informazioni a cascata.
"Il processo di trasferimento illecito di queste informazioni verso un’infrastruttura di rete controllata dall’attaccante è comunemente noto con il termine esfiltrazione." (Tassonomia ACN)
Un'infezione da infostealer non è il punto d'arrivo, ma spesso l'apripista di un disastro su larga scala. I dati sottratti, raggruppati in "stealer log", alimentano un mercato nero altamente specializzato.
Siamo di fronte al modello Malware-as-a-Service (MaaS): una vera e propria filiera criminale dove gli sviluppatori vendono l'accesso a malware pronti all'uso. Questo abbassa drasticamente la barriera d'ingresso: anche un criminale inesperto può acquistare log esfiltrati per ottenere un accesso "legittimo" a reti aziendali, facilitando attacchi ransomware devastanti o l'interruzione di servizi pubblici essenziali.
In questo contesto l'infostealer è il facilitatore silenzioso. Spesso, il ransomware che blocca un'azienda oggi è entrato mesi fa grazie a una singola credenziale rubata da un infostealer e venduta nel dark web per pochi dollari.
I dati del monitoraggio 2025 del CSIRT Italia confermano che il nostro Paese è un target primario. Tuttavia, i numeri che vediamo rappresentano solo il "cono di visibilità" dell'Agenzia: la punta di un iceberg molto più profondo, reso tale dalla natura silenziosa della minaccia e dalla cronica difficoltà di segnalazione (denuncia) da parte delle vittime.
Ecco la gerarchia delle famiglie malware responsabili dell'esfiltrazione di credenziali riconducibili a soggetti italiani:
• LummaC2: 941.948 credenziali esfiltrate.
• RedLine Stealer: 634.823 credenziali esfiltrate.
• DcRat: 476.039 credenziali esfiltrate.
Questi numeri indicano una pressione costante che non risparmia né il privato né il professionista. La prevalenza di LummaC2 e RedLine sottolinea una capacità offensiva matura, capace di colpire trasversalmente ogni settore della nostra società digitale.
Le strategie di attacco moderne sfruttano un paradosso psicologico: più l'utente cerca di essere diligente, più rischia di cadere in trappola. È la "perversione della proattività".
In questo contesto, l'utente non sta cliccando su uno spam sospetto; sta attivamente cercando uno strumento di lavoro o il sito della propria banca. In questo modo, la vittima consegna spontaneamente le proprie chiavi digitali a un'interfaccia contraffatta che gode della "fiducia riflessa" del motore di ricerca.
Tra le minacce più sofisticate spicca Vidar Stealer, un software che sembra uscito da un film di spionaggio. Identificato per la prima volta nel 2018, Vidar ha una missione chirurgica e una capacità di occultamento straordinaria.
Vidar prende di mira una vasta gamma di dati, inclusi quelli provenienti dal TOR Browser, e utilizza piattaforme di social media per ricevere istruzioni dai propri server di Command & Control (C2). Ma la sua caratteristica più inquietante è l'auto-cancellazione: una volta completata l'esfiltrazione dei dati, il malware interrompe l'esecuzione e si elimina dal dispositivo.
Questo meccanismo di "suicidio" rende l'analisi post-incidente un incubo per i tecnici informatici. Le tracce scompaiono, lasciando l'utente nell'illusione che non sia successo nulla, mentre i suoi dati sono già al sicuro sui server dell'attaccante.
ACN propone come caso di studio un attacco ransomware avvenuto nel 2024 ai danni di un ente operante nel settore della ricerca.
Analisi dell'incidente
L'ente ha segnalato l'esecuzione di un ransomware che aveva reso indisponibili sia i server che molti computer client, bloccando l'operatività dell'organizzazione. Il CSIRT Italia è intervenuto per supportare il ripristino dei sistemi (agevolato da una buona strategia di backup) e ha condotto un'analisi forense per ricostruire la catena dell'attacco.
Ricostruzione dell'Attacco
Vettore di accesso: L'attaccante era entrato nella rete utilizzando le credenziali VPN legittime di un dipendente.
Azione malevola: Una volta dentro, l'attore criminale ha effettuato dei cosiddetti "movimenti laterali", ovvero operazioni consentite per il livello di privilegio dell'utente, fino ad ottenere il controllo completo del dominio (Domain Dominance) e ha distribuito il ransomware tramite una Group Policy.
Analisi forense
L'aspetto più significativo emerso settimane dopo è che le credenziali VPN non erano state rubate tramite phishing o attacchi diretti all'ente, ma tramite un infostealer:
• Infezione pregressa: Circa sei mesi prima dell'attacco ransomware, il laptop personale del dipendente (usato occasionalmente per il lavoro da remoto) era stato infettato da un infostealer.
• Ecosistema criminale: L'attore che ha diffuso l'infostealer era diverso da quello che ha poi sferrato l'attacco ransomware. Quest'ultimo aveva probabilmente acquistato le credenziali rubate su un marketplace criminale.
Questo caso è citato come esempio emblematico di come gli infostealer siano elementi abilitanti per minacce più gravi. Dimostra che un'infezione avvenuta mesi prima su un dispositivo personale può trasformarsi nel punto di partenza per una compromissione critica di un'intera infrastruttura aziendale o istituzionale.
La resilienza non è un traguardo statico, ma un processo di adattamento. Come raccomandato dall'ACN, innalzare il proprio livello di protezione richiede il raggiungimento di una "maturità cyber di base": gesti semplici ma determinanti, come l'adozione di un Password Manager (per non lasciare credenziali in chiaro nel browser) e l'attivazione dell'autenticazione a più fattori (MFA).
In un'epoca in cui i nostri dati valgono più dei beni materiali, la nostra attenzione è l'unico firewall che non può essere aggiornato da un software, ma solo dalla nostra consapevolezza.
Se un infostealer fosse nel tuo computer in questo momento, quanto della tua vita avrebbe già impacchettato e spedito?
