In un'epoca in cui le identità digitali sono la chiave del nostro regno, un'epidemia silenziosa imperversa nel panorama informatico. Gli infostealer, sofisticati malware per raccogliere credenziali, hanno rubato 1,8 miliardi di credenziali da 5,8 milioni di dispositivi solo nel 2025, con un aumento dell'800% rispetto agli anni precedenti. Questa impressionante portata del furto di credenziali è ora all'origine dell'86% di tutte le violazioni, cambiando radicalmente il modo in cui le organizzazioni devono affrontare la sicurezza.
La gravità di questa minaccia è diventata innegabile nell'ottobre 2025, quando 183 milioni di credenziali Gmail hanno invaso i mercati clandestini, vendute a soli 10 dollari per account. Pur non trattandosi di una violazione dei sistemi di Google, questa massiccia fuga di dati ha dimostrato come endpoint si traducano in disastri di sicurezza su scala aziendale. Per i professionisti della sicurezza che difendono ambienti sempre più complessi, comprendere gli infostealer non è facoltativo, ma essenziale per la sopravvivenza dell'organizzazione.
Gli infostealer sono una categoria specializzata di malware per estrarre silenziosamente informazioni sensibili dai sistemi infetti, concentrandosi in particolare su credenziali di autenticazione, token di sessione e dati personali. Questi programmi dannosi operano furtivamente in background, raccogliendo password memorizzate nei browser, chiavi di portafogli di criptovalute, informazioni di sistema e cookie di sessione attivi che aggirano l'autenticazione a più fattori. A differenza del ransomware che annuncia la sua presenza attraverso la crittografia, gli infostealer rimangono inosservati mentre saccheggiano sistematicamente le identità digitali.
La sofisticatezza dei moderni infostealer va ben oltre il semplice furto di password. Questi strumenti estraggono profili digitali completi, tra cui cronologie dei browser, dati di compilazione automatica, screenshot e configurazioni di sistema. Operando secondo un modello Malware(MaaS), i criminali possono affittare l'accesso a piattaforme avanzate di infostealer per soli 200 dollari al mese, eliminando le barriere tecniche all'ingresso. Questa democratizzazione degli strumenti di cybercrimine ha trasformato il furto di credenziali da un'abilità specializzata a un servizio di massa.
Il modello di business alla base degli infostealer rivela perché sono diventati l'arma preferita dai criminali informatici. Le credenziali rubate circolano in una sofisticata economia sommersa in cui gli Initial Access Broker (IAB) acquistano, confezionano e rivendono l'accesso agli account compromessi. Una singola credenziale aziendale può fruttare migliaia di dollari quando fornisce l'accesso a reti di grande valore. Questo incentivo economico stimola la continua innovazione delle tecniche di evasione e delle strategie di targeting.
I numeri dipingono un quadro preoccupante della proliferazione degli infostealer. Le ricerche mostrano che nel 2025 saranno rubate 1,8 miliardi di credenziali da 5,8 milioni di dispositivi, con un costo medio per le organizzazioni pari a 4,44 milioni di dollari a livello globale, che raggiungerà i 10,22 milioni di dollari negli Stati Uniti. L'analisi geografica mostra un'infestazione concentrata in India (10%) e Brasile (8%), anche se nessuna regione rimane immune.
Le operazioni di contrasto come l'Operazione Endgame hanno compromesso le principali infrastrutture, sequestrando oltre 1.025 server e arrestando gli operatori chiave. Tuttavia, per ogni operazione di smantellamento, emergono nuove varianti. La resilienza di questo ecosistema deriva dalla sua natura decentralizzata e dalla bassa barriera all'ingresso fornita dalle piattaforme MaaS. Le organizzazioni che implementano soluzioni di rilevamento e risposta alle minacce all'identità (ITDR) segnalano un miglioramento significativo dei tassi di rilevamento, anche se il divario tra l'infezione e la scoperta è ancora in media di 4 giorni.
Il passaggio alle Zero Trust riflette il riconoscimento da parte del settore che il furto delle credenziali è inevitabile. Anziché affidarsi esclusivamente alla prevenzione, le moderne strategie di sicurezza partono dal presupposto che la compromissione sia inevitabile e si concentrano sulla limitazione del raggio d'azione delle credenziali rubate attraverso modelli di verifica continua e di accesso con privilegi minimi.
Comprendere i meccanismi tecnici degli infostealer rivela perché le misure di sicurezza tradizionali spesso falliscono. Questi sofisticati strumenti utilizzano diversi metodi di estrazione, tecniche di evasione avanzate e un'infrastruttura di comando e controllo resiliente per mantenere un accesso persistente ai flussi di dati delle vittime.
La catena di infezione inizia in genere con tecniche di ingegneria sociale, che sfruttano la psicologia umana piuttosto che le vulnerabilità tecniche. Phishing che inviano allegati dannosi rimangono il vettore principale, anche se il malvertising e i download di software compromessi sono aumentati del 700% grazie a iniziative come la campagna ClickFix. Una volta eseguiti, gli infostealer iniziano immediatamente a raccogliere le credenziali memorizzate nei browser, nei client di posta elettronica e nei gestori di password, stabilendo al contempo una comunicazione con l'infrastruttura dell'autore dell'attacco.
I moderni infostealer utilizzano sofisticate tecniche di evasione che consentono loro di aggirare i controlli di sicurezza. Utilizzano il process hollowing per nascondersi all'interno di applicazioni legittime, impiegano trucchi anti-analisi per rilevare le macchine virtuali e sfruttano tecniche senza file che operano interamente nella memoria. Il protocollo di comando e controllo basato su JSON di StealC V2 esemplifica questa evoluzione, regolando dinamicamente il proprio comportamento in base all'ambiente di destinazione e mantenendo canali di comunicazione crittografati resistenti al monitoraggio della rete.
Il processo di estrazione segue una sequenza metodica:
Il modello MaaS ha trasformato gli infostealer da strumenti personalizzati a prodotti commerciali. Per 200 dollari al mese, i criminali ottengono l'accesso a piattaforme sofisticate che includono malware personalizzabili, hosting a prova di bomba, gestione automatizzata delle campagne e dashboard con statistiche in tempo reale. Questo modello di abbonamento fornisce aggiornamenti continui, garantendo che malware un passo avanti rispetto alle firme di rilevamento.
Gli operatori della piattaforma gestiscono la complessità tecnica mentre i "clienti" si concentrano sulla distribuzione. Caratteristiche come l'architettura modulare consentono agli aggressori di selezionare funzionalità specifiche, riducendo le dimensioni dei file e i profili di rilevamento. Il lancio di Acreed nel 2025 esemplifica questa tendenza, offrendo moduli personalizzabili per il furto di browser, il targeting di criptovalute e la raccolta di credenziali aziendali. Il mercato competitivo stimola l'innovazione, con i fornitori che fanno a gara per aggiungere funzionalità come screenshot multi-monitor e capacità anti-analisi migliorate.
L'efficienza economica delle piattaforme MaaS spiega la loro crescita esplosiva. Se si confrontano i 200 dollari di costo mensile con i potenziali guadagni di migliaia di dollari per ogni account aziendale compromesso, il ROI diventa evidente. Questa accessibilità ha ampliato il pool di attori delle minacce da gruppi sofisticati a criminali opportunisti, moltiplicando la superficie di attacco che le organizzazioni devono difendere.
Le strategie di distribuzione si sono evolute oltre i tradizionali allegati e-mail. La campagna ClickFix dimostra un sofisticato ingegneria sociale, visualizzando falsi messaggi di errore che invitano gli utenti a "risolvere" i problemi eseguendo comandi PowerShell dannosi. Queste campagne sfruttano contesti affidabili - richieste di aggiornamento software, notifiche del browser e avvisi di sistema - per aggirare lo scetticismo degli utenti.
Gli attacchi alla catena di approvvigionamento rappresentano un vettore emergente, con gli aggressori che compromettono software legittimi per distribuire infostealer. L'incidente Snowflake, che ha coinvolto sei diversi ceppi di infostealer, ha compromesso 165 ambienti attraverso strumenti di terze parti infetti. L'avvelenamento dei motori di ricerca (SEO) indirizza il traffico verso siti dannosi che ospitano crack di software falsi e modifiche di giochi, prendendo di mira in particolare i giovani meno consapevoli dei rischi per la sicurezza.
Le campagne di malvertising acquistano spazi pubblicitari legittimi per distribuire infostealer, sfruttando piattaforme affidabili per raggiungere le vittime. Questi annunci spesso imitano software popolari, indirizzando gli utenti verso pagine di download convincenti che ospitano payload dannosi. Il targeting geografico e demografico garantisce che le campagne raggiungano obiettivi di valore: professionisti della finanza durante la stagione fiscale, giocatori durante le principali uscite di giochi o studenti durante i periodi di esami.
Il panorama degli infostealer presenta diverse varianti, ciascuna con capacità e profili di destinazione unici. Comprendere queste differenze aiuta i team di sicurezza a stabilire le priorità delle strategie di rilevamento e ad allocare le risorse difensive in modo efficace.
Il mercato ha subito notevoli sconvolgimenti nel 2025, con operazioni di polizia che hanno smantellato gli attori consolidati, mentre nuove varianti hanno rapidamente riempito il vuoto. Questa costante evoluzione sfida i team di sicurezza a mantenere aggiornate le informazioni sulle minacce attuali, preparandosi al contempo alle minacce emergenti. Malware rivela modelli comuni tra le varianti, sebbene ogni famiglia mantenga caratteristiche distintive che richiedono approcci di rilevamento personalizzati.
La concorrenza stimola l'innovazione, con gli sviluppatori che fanno a gara per aggiungere funzionalità che differenziano i loro prodotti. Tecniche di evasione avanzate, applicazioni target ampliate e metodi di esfiltrazione dei dati migliorati compaiono regolarmente negli aggiornamenti. Le piattaforme di threat intelligence monitorano questi sviluppi, fornendo ai team di sicurezza indicatori di compromissione e modelli comportamentali essenziali per il rilevamento.
Lumma Stealer domina il mercato con 1.200 ricerche mensili, a dimostrazione della sua diffusione tra i criminali informatici. Questa variante ha registrato un aumento del 369% nei rilevamenti, nonostante Microsoft e Cloudflare abbiano sequestrato 2.300 domini associati nel maggio 2025. La sua resilienza deriva da un'infrastruttura distribuita e dal rapido adattamento alle azioni delle forze dell'ordine.
L'analisi tecnica rivela le sofisticate capacità di Lumma, tra cui l'estrazione avanzata dai browser Chrome, Firefox ed Edge delle password memorizzate. Il malware diverse tecniche anti-analisi, rilevando macchine virtuali e ambienti sandbox per eludere l'analisi automatizzata. La sua architettura modulare consente agli operatori di personalizzare i payload, aggiungendo o rimuovendo funzionalità in base ai profili degli obiettivi. La comunicazione avviene attraverso canali crittografati che utilizzano algoritmi di generazione di domini (DGA) che complicano gli sforzi di rimozione.
Il successo di Lumma riflette il suo equilibrio tra sofisticatezza e usabilità. Il pannello di gestione fornisce statistiche in tempo reale, analisi automatizzata dei log e strumenti di monetizzazione integrati. Gli operatori possono filtrare le credenziali rubate in base al valore, identificando automaticamente obiettivi di alto valore come account aziendali o portafogli di criptovalute. Questa efficienza ha reso Lumma la scelta preferita sia dai gruppi sofisticati che dai criminali alle prime armi.
Nel 2025 sono emerse tre nuove varianti che rappresentano minacce significative, ciascuna delle quali apporta capacità uniche all'ecosistema degli infostealer:
Acreed Stealer è stato lanciato all'inizio del 2025 con un design modulare che consente la selezione personalizzata delle funzionalità. Con un prezzo competitivo di 200 dollari al mese, Acreed prende di mira le credenziali del browser, i portafogli di criptovaluta e le informazioni di sistema. La sua architettura enfatizza la furtività, utilizzando processi Windows legittimi per l'iniezione ed evitando i comuni modelli di rilevamento. La distribuzione avviene principalmente attraverso campagne phishing malvertising rivolte agli utenti aziendali.
StealC V2 (Monster V2) ha rilasciato la versione 2.2.4 nel novembre 2025, incorporando gli insegnamenti tratti dalle operazioni di contrasto delle forze dell'ordine. L'abbonamento mensile da 200 dollari include protocolli di comando e controllo basati su JSON per una migliore evasione, funzionalità di screenshot multi-monitor per l'acquisizione di informazioni sensibili e un'estrazione dei dati del browser migliorata, compresi i file di ripristino della sessione. Le tecniche anti-analisi di StealC V2 rilevano ed eludono le moderne soluzioni EDR, contribuendo al tasso di bypass del 66% osservato tra gli infostealer.
Nexus Stealer ha rapidamente guadagnato quote di mercato dopo l'interruzione di RedLine, concentrandosi sulla raccolta avanzata di credenziali e sul furto di token di sessione. Le sue funzionalità includono il targeting dei database dei gestori di password, l'estrazione dei codici di backup dell'autenticazione a due fattori e il sofisticato furto di cookie che aggira l'isolamento dei siti. Nexus rappresenta la prossima generazione di infostealer, incorporando l'apprendimento automatico per la prioritizzazione degli obiettivi e lo sfruttamento automatizzato delle credenziali rubate.
Gli incidenti verificatisi nel mondo reale dimostrano come gli infostealer possano tradursi in disastri organizzativi. Questi casi rivelano i modelli di attacco, la portata dell'impatto e le conseguenze a cascata che seguono la compromissione delle credenziali.
La fuga di 183 milioni di credenziali Gmail avvenuta nell'ottobre 2025 è un esempio della portata enorme dei furti di credenziali al giorno d'oggi. Raccolti tramite Synthient Stealer e altre varianti, questi 400 GB di dati hanno invaso i mercati clandestini, facendo scendere il prezzo delle credenziali al minimo storico di 10 dollari per account. La risposta di Google, ovvero la reimpostazione di massa delle password e un monitoraggio più attento, ha messo in evidenza la natura reattiva delle attuali difese contro gli hacker proattivi.
La compromissione della catena di fornitura di Snowflake ha dimostrato come gli infostealer consentano attacchi complessi e in più fasi. Sei diversi ceppi di infostealer hanno compromesso i computer degli sviluppatori, rubando le credenziali successivamente utilizzate per accedere a 165 ambienti dei clienti. L'attacco ha aggirato i tradizionali confini di sicurezza, sfruttando i rapporti di fiducia tra fornitori e clienti. Questo incidente ha costretto l'intero settore a rivalutare le pratiche cloud , in particolare per quanto riguarda la gestione degli accessi di terze parti.
L'operazione Endgame del novembre 2025 ha portato alla luce l'infrastruttura che supportava le operazioni di furto di informazioni. Il sequestro di oltre 1.025 server e 20 domini ha interrotto l'accesso a oltre 100.000 portafogli di criptovalute compromessi. Tuttavia, nel giro di pochi giorni è emersa una nuova infrastruttura, a dimostrazione della resilienza dell'ecosistema degli infostealer. Il gioco al gatto e al topo delle forze dell'ordine con gli operatori continua, con ogni smantellamento che fornisce un sollievo temporaneo prima che le varianti si adattino e riaffiorino.
Gli infostealer costituiscono la prima fase di molti attacchi ransomware, con le credenziali rubate vendute a gruppi specializzati per essere sfruttate. La campagna ransomware HellCat ha esemplificato questo processo, utilizzando le credenziali JIRA ottenute dai log degli infostealer per ottenere l'accesso iniziale. Una volta all'interno, gli aggressori hanno aumentato i privilegi, si sono spostati lateralmente e hanno distribuito il ransomware, causando danni per milioni di dollari.
Gli Initial Access Broker (IAB) facilitano questo ecosistema, acquistando credenziali dagli operatori di infostealer e rivendendo l'accesso ai gruppi di ransomware. I prezzi variano in base al valore dell'obiettivo: una credenziale Fortune 500 può raggiungere i 50.000 dollari, mentre l'accesso alle piccole imprese viene venduto a centinaia. Questa specializzazione consente a ciascun gruppo di concentrarsi sulla propria competenza: rubare credenziali, negoziare l'accesso o eseguire attacchi ransomware.
Il tempo che intercorre tra il furto delle credenziali e l'implementazione del ransomware è in media di 4-7 giorni, anche se i gruppi più sofisticati possono agire più rapidamente. Questo lasso di tempo rappresenta il periodo critico per il rilevamento e la risposta. Le organizzazioni che rilevano e rispondono al furto delle credenziali entro poche ore possono impedire l'escalation, mentre quelle che impiegano giorni vanno incontro a un inevitabile compromesso. Il tempo medio di rilevamento di 4 giorni significa che la maggior parte delle organizzazioni scopre le infezioni dopo che gli aggressori hanno già monetizzato i dati rubati.
Una difesa efficace contro gli infostealer richiede strategie multilivello che combinino controlli tecnici, miglioramenti dei processi e formazione degli utenti. Il tasso di bypass endpoint del 66% dimostra perché le organizzazioni non possono fare affidamento su singoli livelli di sicurezza.
Le strategie di rilevamento devono tenere conto della natura furtiva e delle capacità polimorfiche degli infostealer. Le varianti moderne impiegano sofisticate tecniche di evasione, tra cui il process hollowing, tattiche living-off-the-land e comunicazioni crittografate. L'analisi comportamentale offre un rilevamento più affidabile rispetto agli approcci basati sulle firme, concentrandosi su modelli di attività anomali piuttosto che malware specifiche malware . L'analisi forense della memoria può rivelare gli infostealer che operano interamente nella RAM, mentre le soluzioni di rilevamento e risposta di rete (NDR) identificano modelli sospetti di esfiltrazione dei dati.
La prevenzione richiede di affrontare sia le vulnerabilità tecniche che i fattori umani. Sebbene i controlli tecnologici forniscano una protezione essenziale, il comportamento degli utenti rimane il principale vettore di infezione. Le organizzazioni devono bilanciare i requisiti di sicurezza con l'usabilità, garantendo che le misure di protezione non ostacolino la produttività. La rapida evoluzione delle tecniche di furto di informazioni significa che le difese di ieri potrebbero fallire contro le minacce di oggi, richiedendo un continuo adattamento e miglioramento.
I metodi di rilevamento efficaci includono:
Le soluzioni Endpoint e rispostaEndpoint (EDR) devono affrontare sfide significative nel rilevare i moderni infostealer. Il tasso di bypass del 66% riflette sofisticate tecniche di evasione progettate specificamente per eludere endpoint . Gli infostealer utilizzano API Windows legittime per l'estrazione delle credenziali, facendo apparire il loro comportamento normale alle soluzioni EDR. Operano brevemente, estraendo i dati e terminando prima che gli algoritmi di rilevamento segnalino attività sospette.
Le varianti moderne utilizzano diverse tecniche anti-EDR, tra cui chiamate di sistema dirette che aggirano gli hook API, l'iniezione di processi in applicazioni affidabili e operazioni a livello di kernel che evitano il monitoraggio in modalità utente. Rilevano gli ambienti di virtualizzazione e sandbox, rimanendo inattive durante l'analisi. Alcune varianti prendono di mira specificamente i processi EDR, tentando di disabilitare o danneggiare gli strumenti di sicurezza prima di iniziare l'estrazione delle credenziali.
La soluzione non consiste nell'abbandonare l'EDR, ma nell'integrarlo con tecnologie complementari. Le soluzioni ITDR (Identity Threat Detection and Response) si concentrano sulle anomalie basate sull'identità piuttosto che endpoint . Il rilevamento di rete identifica l'esfiltrazione dei dati indipendentemente endpoint . Le tecnologie di inganno creano credenziali honey che attivano avvisi quando vengono consultate. Questo approccio di difesa approfondita affronta i limiti dell'EDR mantenendo endpoint .
La rapidità è fondamentale per rispondere con successo alle infezioni da infostealer. L'accordo sul livello di servizio (SLA) di 4 ore per il ripristino delle credenziali rappresenta la best practice, ma per raggiungerlo sono necessari preparazione e automazione. Ogni ora di ritardo aumenta la probabilità di monetizzazione delle credenziali e di attacchi secondari.
Le azioni di risposta immediate devono concentrarsi sul contenimento e sull'invalidazione delle credenziali. Ciò include l'isolamento dei sistemi infetti dall'accesso alla rete, il ripristino di tutte le password potenzialmente compromesse, la revoca delle sessioni attive e dei token di autenticazione e la revisione dei registri di accesso alla ricerca di autenticazioni sospette. Le organizzazioni devono informare gli utenti e i partner interessati, conservando al contempo le prove forensi per le indagini. L'implementazione temporanea di fattori di autenticazione aggiuntivi e il monitoraggio dei tentativi di riutilizzo delle credenziali aiutano a prevenire ulteriori compromissioni.
Il ripristino va oltre la risoluzione tecnica dei problemi e comprende anche il miglioramento dei processi e la formazione degli utenti. Le organizzazioni devono analizzare i vettori di infezione per prevenire il ripetersi degli incidenti, aggiornare i controlli di sicurezza sulla base delle lezioni apprese e migliorare il monitoraggio di modelli di attacco simili. La formazione degli utenti dovrebbe affrontare specifiche tattiche di ingegneria sociale utilizzate, mentre i team di sicurezza dovrebbero rivedere le procedure di risposta agli incidenti sulla base dell'esperienza acquisita. Il monitoraggio del dark web alla ricerca di credenziali trapelate e valutazioni periodiche della sicurezza aiutano a identificare i rischi in corso.
I quadri normativi riconoscono sempre più spesso il furto di credenziali come una questione critica in materia di conformità. Le organizzazioni sono sottoposte a una pressione crescente affinché implementino controlli completi a tutela dei sistemi di autenticazione e delle identità degli utenti.
MITRE ATT&CK mappa i comportamenti degli infostealer attraverso diverse tecniche, tra cui T1003 (OS Credential Dumping), T1555 (Credentials from Password Stores), T1539 (Steal Web Session Cookie), T1056 (Input Capture) e T1005 (Data from Local System). Questa mappatura consente alle organizzazioni di allineare le strategie difensive con modelli di minaccia riconosciuti. I framework di conformità fanno riferimento a queste tecniche quando definiscono i requisiti di sicurezza.
Il NIST Cybersecurity Framework 2.0 affronta le minacce legate al furto di informazioni attraverso diverse famiglie di controlli. PR.AC (Gestione delle identità e controllo degli accessi) richiede un'autenticazione forte e la protezione delle credenziali. DE.CM (Monitoraggio continuo della sicurezza) impone capacità di rilevamento del furto di credenziali. RS.AN (Analisi) richiede procedure di indagine per i casi di sospetta compromissione. Questi controlli costituiscono la base della conformità normativa in tutti i settori industriali.
La direttiva UE NIS2, che entrerà in vigore nell'ottobre 2024, affronta specificamente le violazioni delle credenziali. Le organizzazioni devono segnalare gli incidenti significativi entro 24 ore, con rapporti dettagliati entro 72 ore. Il furto di credenziali che interessa servizi critici comporta la notifica obbligatoria alle autorità nazionali. Le sanzioni per la non conformità raggiungono il 2% del fatturato annuo globale, sottolineando i rischi finanziari di controlli inadeguati.
Il settore della sicurezza si è evoluto oltre le tradizionali difese perimetrali, riconoscendo che il furto di credenziali richiede strategie incentrate sull'identità. Gli approcci moderni presuppongono la violazione e si concentrano sulla limitazione dell'impatto attraverso cambiamenti architetturali e tecnologie emergenti.
Zero Trust cambia radicalmente il modo in cui le organizzazioni affrontano la sicurezza delle credenziali. Anziché fidarsi implicitamente degli utenti autenticati, Zero Trust verifica Zero Trust l'identità e l'autorizzazione. Questo approccio limita il valore delle credenziali rubate richiedendo una verifica aggiuntiva per le azioni sensibili. La microsegmentazione contiene le violazioni, impedendo il movimento laterale anche con credenziali valide. Il principio del privilegio minimo garantisce che gli account compromessi abbiano accesso solo alle risorse necessarie.
Il monitoraggio automatizzato del dark web è diventato essenziale per una difesa proattiva. I servizi scansionano continuamente i mercati clandestini alla ricerca di credenziali aziendali, fornendo un allarme tempestivo in caso di compromissione. L'integrazione con i sistemi di gestione delle identità consente una risposta automatica quando le credenziali compaiono online. Gli algoritmi di apprendimento automatico identificano i modelli che suggeriscono attacchi mirati, mentre i feed di intelligence sulle minacce forniscono il contesto delle campagne emergenti. Questo approccio proattivo sposta le organizzazioni da una posizione di sicurezza reattiva a una predittiva.
Le credenziali di sessione vincolate al dispositivo (DBSC) rappresentano la prossima evoluzione nella sicurezza dell'autenticazione. Questa tecnologia emergente vincola crittograficamente i token di sessione a dispositivi specifici, impedendo attacchi di replay anche in caso di furto dei cookie. Le prime implementazioni mostrano risultati promettenti, anche se la diffusione su larga scala richiede il supporto dei browser e delle applicazioni. Le passkey FIDO2, ora supportate dal 93% degli account utente, forniscono una protezione immediata attraverso un'autenticazione phishing che gli infostealer non possono compromettere.
Vectra AI il rilevamento degli infostealer attraverso una lente incentrata sull'identità, combinando segnali di rete e di identità per identificare i tentativi di furto di credenziali prima che avvenga l'esfiltrazione. Anziché affidarsi a malware che diventano rapidamente obsolete, Attack Signal Intelligence™ si concentra sulle anomalie comportamentali che indicano una compromissione. Questa metodologia rileva varianti sconosciute e zero-day identificando i comportamenti coerenti che tutti gli infostealer devono mostrare: accesso agli archivi di credenziali, creazione di canali di comando ed esfiltrazione dei dati. Correlando le anomalie dell'identità con i modelli di rete, i team di sicurezza ottengono visibilità sugli attacchi che aggirano endpoint tradizionale endpoint .
Il panorama della sicurezza informatica continua a evolversi rapidamente, con gli infostealer in prima linea tra le sfide emergenti. Nei prossimi 12-24 mesi, le organizzazioni dovranno prepararsi a diversi sviluppi chiave che ridefiniranno il modo in cui ci difendiamo dal furto di credenziali.
L'intelligenza artificiale sta trasformando sia le capacità di attacco che quelle di difesa. Gli aggressori sfruttano l'IA per creare phishing convincenti, identificare automaticamente obiettivi di alto valore nei set di dati rubati e sviluppare malware polimorfici malware si adattano alle misure difensive. I difensori rispondono con analisi comportamentali basate sull'IA, ricerca automatizzata delle minacce e modelli predittivi che identificano i potenziali obiettivi. Questa corsa agli armamenti dell'IA accelererà fino al 2026, con vantaggi che si sposteranno tra aggressori e difensori man mano che le tecnologie matureranno.
Il quantum computing rappresenta una minaccia a lungo termine per gli attuali metodi di crittografia che proteggono le credenziali archiviate. Sebbene i computer quantistici pratici siano ancora lontani anni luce, le organizzazioni devono iniziare a prepararsi agli attacchi "harvest now, decrypt later" (raccogli ora, decrittografa dopo), in cui gli avversari rubano dati crittografati per decrittografarli in futuro. Gli standard di crittografia post-quantistica, finalizzati dal NIST nel 2024, richiedono l'implementazione in tutti i sistemi di autenticazione. Le organizzazioni dovrebbero inventariare le dipendenze crittografiche e sviluppare piani di migrazione per algoritmi resistenti al quantum.
La pressione normativa si intensificherà a seguito delle violazioni di alto profilo attribuite al furto di credenziali. La direttiva NIS2 dell'UE stabilisce dei precedenti che altre regioni probabilmente seguiranno, con notifiche obbligatorie delle violazioni e sanzioni sostanziali per controlli inadeguati. La proposta di legge federale statunitense sulla privacy include disposizioni che riguardano specificamente la protezione delle credenziali e la verifica dell'identità. Le organizzazioni che operano a livello internazionale devono affrontare un complesso mosaico di requisiti che richiedono programmi completi di sicurezza dell'identità.
Le priorità di investimento per i prossimi 24 mesi dovrebbero concentrarsi su tre aree critiche. In primo luogo, le organizzazioni devono accelerare l'adozione delle passkey, puntando a una copertura del 100% degli account privilegiati entro il secondo trimestre del 2026. In secondo luogo, l'implementazione dell'ITDR dovrebbe espandersi oltre i programmi pilota fino a coprire tutti gli archivi di identità. In terzo luogo, Zero Trust devono passare da framework concettuali ad architetture operative con verifica continua e microsegmentazione.
La convergenza degli ambienti IT e OT crea nuove superfici di attacco per gli infostealer. I sistemi di controllo industriale si connettono sempre più spesso alle reti aziendali, esponendo la tecnologia operativa al rischio di furto delle credenziali. Le credenziali compromesse di un ingegnere potrebbero fornire l'accesso a infrastrutture critiche, creando scenari di minaccia interna con potenziali danni fisici oltre al furto di dati. Le organizzazioni devono estendere i programmi di sicurezza delle identità per includere gli ambienti OT, implementando controlli specializzati per i sistemi industriali.
L'epidemia di infostealer rappresenta un cambiamento fondamentale nel panorama della sicurezza informatica, dove le tradizionali difese perimetrali e endpoint si dimostrano insufficienti contro gli attacchi mirati alle credenziali. Con 1,8 miliardi di credenziali rubate solo nel 2025 e l'86% delle violazioni che coinvolgono il furto di credenziali, le organizzazioni non possono più considerare la sicurezza dell'identità come secondaria rispetto alla protezione della rete. L'emergere di varianti sofisticate come Lumma, Acreed e StealC V2, disponibili a soli 200 dollari al mese, ha democratizzato le capacità di attacco avanzate, mentre il tasso di bypass EDR del 66% espone lacune critiche nelle difese attuali.
Per avere successo contro gli infostealer è necessario adottare strategie di sicurezza incentrate sull'identità che presuppongano una compromissione piuttosto che una prevenzione perfetta. Le organizzazioni devono accelerare l'adozione delle passkey FIDO2, ora supportate dal 93% degli account, implementando al contempo soluzioni ITDR in grado di rilevare i tentativi di furto delle credenziali indipendentemente dalle malware . Il tempo di risposta di 4 ore per il ripristino delle credenziali, sebbene difficile da raggiungere rispetto all'attuale media di rilevamento di 4 giorni, rappresenta la differenza fondamentale tra incidenti contenuti e violazioni catastrofiche. Zero Trust che verificano continuamente l'identità e limitano l'ambito delle credenziali forniscono difese architetturali essenziali.
In prospettiva, la convergenza di attacchi potenziati dall'intelligenza artificiale, minacce legate al quantum computing e requisiti normativi ridefinirà il modo in cui le organizzazioni affrontano la sicurezza delle credenziali. I prossimi 12-24 mesi saranno fondamentali, poiché le organizzazioni si affrettano a implementare passkey, distribuire piattaforme ITDR e rendere operativo Zero Trust gli autori delle minacce sfruttino le tecnologie emergenti. I responsabili della sicurezza devono passare da risposte reattive a strategie proattive, trattando l'identità come il nuovo perimetro e preparandosi a un ambiente in cui ogni credenziale rappresenta un potenziale vettore di violazione.
Agisci oggi stesso valutando la superficie di attacco delle credenziali della tua organizzazione ed esplorando come i moderni approcci incentrati sull'identità possano rafforzare la tua difesa contro la minaccia in continua evoluzione degli infostealer.
Gli infostealer differiscono sostanzialmente dalle altre malware per quanto riguarda gli obiettivi operativi e i metodi utilizzati. Mentre i ransomware annunciano la loro presenza tramite la crittografia dei file e le richieste di riscatto, gli infostealer operano in modo silenzioso, evitando di essere rilevati mentre estraggono dati preziosi. A differenza dei trojan di accesso remoto (RAT) che mantengono un accesso backdoor persistente per il controllo manuale, gli infostealer automatizzano il processo di estrazione e in genere si autodistruggono dopo aver completato la loro missione.
La natura non persistente degli infostealer li rende particolarmente difficili da individuare e rimuovere. Non richiedono comunicazioni di comando e controllo continue come le botnet, ma eseguono operazioni rapide di tipo "smash-and-grab". Il loro obiettivo specifico, ovvero il furto di credenziali e dati, fa sì che evitino modifiche al sistema che potrebbero attivare allarmi di sicurezza. Questo approccio chirurgico, combinato con sofisticate tecniche di evasione, spiega perché il 66% riesce a eludere con successo endpoint tradizionali endpoint . Anche il modello di business è diverso, poiché gli infostealer vengono venduti come servizi piuttosto che come strumenti, abbassando le barriere all'ingresso per i criminali informatici.
I tradizionali software antivirus presentano notevoli limitazioni nel rilevare i moderni infostealer: alcuni studi dimostrano che il 66% di essi riesce a eludere le soluzioni endpoint e risposta endpoint (EDR). Questo elevato tasso di bypass è dovuto a diversi fattori, tra cui il codice polimorfico che cambia ad ogni infezione, l'uso legittimo di API che sembrano innocue e sofisticate tecniche anti-analisi che rilevano gli strumenti di sicurezza. Gli infostealer spesso operano interamente nella memoria, lasciando tracce forensi minime per il rilevamento basato sulle firme.
La soluzione non consiste nell'abbandonare l'antivirus, ma nell'integrarlo con il rilevamento comportamentale e la sicurezza incentrata sull'identità. Le soluzioni ITDR monitorano i modelli di accesso anomali alle credenziali indipendentemente dal malware sottostante. Il rilevamento di rete identifica l'esfiltrazione di dati sospetti anche quando endpoint fallisce. Le organizzazioni dovrebbero mantenere aggiornato l'antivirus come difesa di base, implementando al contempo livelli aggiuntivi che includono il controllo delle applicazioni, l'isolamento del browser e il monitoraggio continuo dell'autenticazione. Test regolari delle capacità di rilevamento utilizzando campioni controllati di infostealer aiutano a identificare le lacune prima che gli attacchi reali le sfruttino.
Le credenziali rubate entrano in una sofisticata economia sommersa con mercati consolidati, modelli di prezzo e canali di distribuzione. Inizialmente, gli operatori di infostealer ordinano i dati acquisiti in base al loro valore: gli account aziendali, le credenziali bancarie e i portafogli di criptovalute raggiungono prezzi elevati. Le credenziali in blocco vengono sottoposte a una convalida automatizzata per confermare gli account attivi, con le voci non valide filtrate. Gli Initial Access Broker (IAB) acquistano credenziali aziendali di alto valore, riconfezionandole per venderle a gruppi di ransomware e attori di minacce persistenti avanzate (APT).
Il mercato clandestino funziona come un normale sito di e-commerce, con sistemi di reputazione, assistenza clienti e garanzie di rimborso. I prezzi variano notevolmente in base al valore dell'obiettivo: le credenziali di un dirigente di una società Fortune 500 possono essere vendute per 50.000 dollari, mentre gli account dei consumatori vengono scambiati per 10-50 dollari. I criminali informatici utilizzano le credenziali rubate per ottenere un guadagno finanziario immediato attraverso acquisti e trasferimenti non autorizzati, attacchi BEC (Business Email Compromise) ai partner e ai clienti e furti di criptovalute che svuotano i portafogli digitali. Gli attori statali acquisiscono credenziali per lo spionaggio informatico e la raccolta di informazioni, mentre le aziende concorrenti si dedicano allo spionaggio aziendale. La rapidità della monetizzazione significa che le organizzazioni hanno poche ore, non giorni, per rispondere al furto di credenziali.
Le migliori pratiche del settore stabiliscono un accordo sul livello di servizio (SLA) di 4 ore per il ripristino delle credenziali a seguito di infezioni confermate da infostealer, anche se attualmente i tempi medi di rilevamento sono di 4 giorni. Questo divario tra i tempi di risposta ideali e quelli effettivi rappresenta un'opportunità per gli aggressori di monetizzare le credenziali rubate. Ogni ora di ritardo aumenta il rischio di attacchi secondari, movimenti laterali ed esfiltrazione dei dati. Le organizzazioni che rilevano le infezioni entro le prime 24 ore prevengono il 92% degli attacchi a valle, mentre quelle che impiegano più tempo vanno incontro a una compromissione quasi certa.
Una risposta immediata richiede procedure preparate e automazione. Entro la prima ora, isolare i sistemi infetti e avviare la conservazione forense. Le ore 2-3 si concentrano sul ripristino delle credenziali per gli utenti interessati, la revoca delle sessioni attive e la notifica ai team di sicurezza. Entro la quarta ora, implementare un monitoraggio avanzato per gli account interessati e avviare la ricerca delle minacce per le infezioni correlate. Le attività post-incidente includono la reimpostazione completa delle password per tutti gli account potenzialmente esposti, l'implementazione di fattori di autenticazione aggiuntivi, il monitoraggio del dark web per le credenziali trapelate e la formazione degli utenti sul vettore di attacco specifico. Le organizzazioni dovrebbero condurre esercitazioni trimestrali per testare le procedure di risposta, assicurandosi che i team siano in grado di rispettare lo SLA di 4 ore quando si verificano infezioni reali.
Sì, le passkey offrono una protezione eccezionale contro gli infostealer grazie al loro design crittografico che rende impossibile il furto delle credenziali. A differenza delle password memorizzate nei browser o nei gestori di password, le passkey utilizzano la crittografia a chiave pubblica-privata, in cui la chiave privata non lascia mai il dispositivo. Anche se gli infostealer estraggono i dati del browser, non possono accedere alle chiavi crittografiche memorizzate nei moduli di sicurezza hardware. Con il 93% degli account utente che ora supportano le passkey FIDO2, questa tecnologia rappresenta la difesa più efficace contro il furto di credenziali attualmente disponibile.
La natura phishing delle passkey affronta sia gli attacchi tecnici che quelli di ingegneria sociale. Gli utenti non possono fornire accidentalmente le passkey a siti web falsi poiché il protocollo crittografico convalida il dominio richiedente. Ciò elimina il principale vettore di infezione per gli infostealer: gli utenti che inseriscono le credenziali su siti dannosi. Rimangono alcune sfide di implementazione, tra cui il supporto alle applicazioni legacy, i requisiti di formazione degli utenti e le procedure di recupero degli account. Le organizzazioni dovrebbero dare priorità all'implementazione delle passkey per gli account privilegiati e gli obiettivi di alto valore, espandendo gradualmente la copertura man mano che gli utenti acquisiscono familiarità con la tecnologia. In combinazione con Zero Trust e il monitoraggio ITDR, le passkey creano una difesa approfondita che riduce significativamente i rischi di furto delle credenziali.
Gli infostealer aggirano l'autenticazione a più fattori (MFA) rubando i cookie di sessione, acquisendo le sessioni autenticate dopo che gli utenti hanno completato le verifiche a più fattori. Quando gli utenti effettuano l'autenticazione, i siti web creano dei cookie di sessione che mantengono lo stato di accesso. Gli infostealer estraggono questi cookie dalla memoria del browser, consentendo agli aggressori di riprodurre le sessioni autenticate senza conoscere le password o possedere dispositivi MFA. Questa tecnica, nota come dirottamento di sessione, aggira anche le implementazioni MFA più robuste, inclusi i token hardware e l'autenticazione biometrica.
Le varianti avanzate utilizzano phishing in tempo reale, catturando i codici MFA mentre gli utenti li inseriscono. L'infrastruttura dell'autore dell'attacco si trova tra le vittime e i siti legittimi, inoltrando le richieste di autenticazione e catturando le risposte. Alcuni infostealer prendono di mira specificamente i codici di backup MFA memorizzati nei gestori di password o nelle note del browser. Altri estraggono i seed delle app di autenticazione, consentendo agli aggressori di generare codici TOTP validi. La difesa richiede l'implementazione di passkey FIDO2 resistenti agli attacchi di replay, l'utilizzo di credenziali di sessione legate al dispositivo (DBSC), il monitoraggio di spostamenti impossibili e modelli di accesso anomali e la richiesta di una nuova autenticazione per le azioni sensibili. Le organizzazioni dovrebbero inoltre implementare timeout di sessione brevi e un'autenticazione continua che convalidi l'identità dell'utente durante tutta la sessione e non solo al momento del login.
Varianti emergenti come Acreed e StealC V2 rappresentano un salto evolutivo nelle capacità degli infostealer, incorporando le lezioni apprese dagli interventi delle forze dell'ordine e dai miglioramenti della sicurezza. Queste nuove piattaforme sono caratterizzate da architetture modulari che consentono attacchi personalizzati, con operatori che selezionano moduli specifici in base agli obiettivi. Tecniche di evasione avanzate progettate specificamente per aggirare le moderne soluzioni EDR contribuiscono al tasso di fallimento del rilevamento del 66%. I protocolli basati su JSON e i canali di comando crittografati resistono al monitoraggio della rete, mentre le capacità anti-forensi, tra cui l'autodistruzione e la manomissione dei log, complicano le indagini.
La democratizzazione delle funzionalità avanzate grazie ad abbonamenti mensili da 200 dollari significa che gli attacchi sofisticati non richiedono più competenze tecniche. La funzionalità di screenshot multi-monitor di StealC V2 cattura informazioni che vanno oltre le credenziali memorizzate, inclusi i dati sensibili visualizzati sullo schermo e i codici QR di autenticazione. L'integrazione dell'apprendimento automatico consente la prioritizzazione automatica degli obiettivi, concentrandosi prima sulle credenziali di alto valore. Queste varianti dimostrano anche una maggiore resilienza ai takedown grazie all'infrastruttura distribuita, ai canali di comando basati su blockchain e al rapido adattamento alle azioni delle forze dell'ordine. La velocità dell'innovazione implica che le strategie difensive devono evolversi continuamente, poiché le organizzazioni non possono fare affidamento su difese statiche contro minacce in rapida evoluzione.