Cosa fanno gli infostealer e come funzionano?
Gli infostealer sono un tipo di malware creato per infettare i sistemi informatici e rubare dati memorizzati localmente, come nomi utente e password salvati, voci di compilazione automatica del browser, informazioni finanziarie e altre informazioni di identificazione personale (PII).
Una tattica comune consiste nell'indurre la vittima a eseguire un file o un programma di installazione contenente una trappola. Gli aggressori in genere lo fanno attraverso il phishing, il malvertising o tecniche di ingegneria sociale di tipo “click-to-fix”. Una volta eseguito, il malware raccoglie dati dalle aree di archiviazione più comuni — come browser web, client di posta elettronica e gestori di password — li aggrega in un file di log e li invia a un server controllato dall’attaccante. Molte operazioni si avvalgono di un pannello di back-end che riceve questi log, li organizza e li rende facilmente consultabili e ricercabili.
Dopo l’esfiltrazione dei dati, gli operatori degli infostealer monetizzano i dati rubati vendendo i log, scambiandoli in comunità private o cedendoli ad altri gruppi criminali. Questi ultimi li utilizzano per attacchi successivi, come il furto di account e diverse forme di frode.
Come gli infostealer si introducono in un dispositivo
Di solito, gli infostealer infettano un dispositivo quando un utente viene indotto con l'inganno a eseguire un file dannoso. Gli aggressori utilizzano tecniche di ingegneria sociale e canali di distribuzione che fanno apparire il malware legittimo, utile o urgente. Le vie di infezione più comuni includono:
Software crackato, cheat, mod e strumenti “gratuiti”
Gli infostealer possono essere distribuiti tramite software crackato, cheat o mod di giochi e programmi di installazione non ufficiali, in cui il malware si nasconde all'interno di programmi legittimi. Questi file vengono condivisi su siti torrent, piattaforme di file hosting, forum e nelle descrizioni dei video, dove gli utenti tendono a disattivare gli avvisi o ignorare le richieste di sicurezza. Una volta eseguito, il malware si avvia insieme al software pubblicizzato e raccoglie i dati memorizzati.
Pagine di download false, malvertising e trappole di ricerca sponsorizzate
Gli infostealer si diffondono anche attraverso annunci fraudolenti, risultati di ricerca sponsorizzati e false pagine di download che rispecchiano i siti di software legittimi. Queste pagine compaiono quando le persone cercano strumenti, aggiornamenti o patch popolari e sono progettate con cura, tanto da superare anche un controllo visivo superficiale. Tuttavia, basta un solo click distratto su un falso pulsante di download per sostituire il software legittimo con un payload infostealer.
Estensioni browser dannose
Gli infostealer possono diffondersi anche attraverso estensioni del browser dannose che si presentano come strumenti legittimi, ad esempio blocco degli annunci, componenti aggiuntivi per la produttività o tracker dei prezzi. Una volta installate, queste estensioni operano all’interno dell’ambiente “fidato” del browser, con accesso diretto a password salvate, cookie e sessioni attive. Proprio grazie a questa apparente legittimità, possono restare attive a lungo, anche dopo aver sottratto i dati che cercavano.
Link e file condivisi tramite app di chat e archiviazione cloud
Gli infostealer possono diffondersi anche tramite link e file condivisi su piattaforme di chat, come gruppi, server o messaggi diretti, oltre che attraverso collegamenti a servizi di archiviazione cloud pubblicati su forum o social media. Gli aggressori promuovono presunti “strumenti gratuiti”, “contenuti premium” o “correzioni”, sfruttando poi l’hosting integrato delle piattaforme o cartelle condivise per distribuire archivi e programmi di installazione infetti. Quando la vittima apre il file, l’infostealer viene eseguito e inizia a raccogliere i dati memorizzati sul dispositivo.
Reti di loader e campagne pay-per-install
A volte gli infostealer vengono distribuiti tramite malware loader, piccoli programmi già presenti sul dispositivo che hanno un unico scopo: scaricare ed eseguire altri file dannosi. I loader vengono installati con le stesse tecniche usate per gli infostealer — download ingannevoli, allegati di phishing o link compromessi — ma restano attivi sul dispositivo, permettendo agli aggressori di inviare nuovi payload in un secondo momento. Gli operatori criminali pagano queste reti di loader per distribuire infostealer sui computer infetti, spesso in base al Paese o al volume di installazioni richiesto. Questo modello elimina la necessità di ingannare lo stesso utente più volte e trasforma la diffusione del malware in un servizio automatizzato su commissione.
Profili delle vittime più colpite dagli infostealer
Gli utenti più colpiti dagli infostealer sono spesso quelli i cui dispositivi custodiscono un’alta concentrazione di password salvate, accessi sincronizzati e sessioni attive. In molti casi emergono profili ricorrenti, accomunati dalle attività svolte online e dagli strumenti utilizzati. I profili descritti di seguito delineano le tipologie di vittime più frequenti e mostrano come comportamenti apparentemente comuni possano trasformarsi in un’opportunità per i criminali.
Il profilo “sempre connesso”
Il profilo “sempre connesso” descrive principalmente gli utenti Windows che rimangono connessi ai propri account e trascorrono molto tempo sui social network (come Facebook, Instagram e X), sui media a pagamento e sulle piattaforme di streaming, sui siti di shopping online e sui servizi finanziari personali. Questi utenti tendono a salvare le password e a mantenere attive le sessioni perché utilizzano i propri account quotidianamente e raramente effettuano il logout. Dal punto di vista di un hacker, si tratta di un bersaglio facile.
Il profilo “gamer”
Il profilo “gamer” include gli utenti che trascorrono molto tempo nei grandi ecosistemi di gioco e installano regolarmente launcher, mod, cheat e componenti aggiuntivi di terze parti per personalizzare o sbloccare il gameplay. Questo gruppo esegue più file di terze parti rispetto alla maggior parte degli utenti, il che aumenta le probabilità di eseguire un download con trappola e creare un facile punto di accesso per gli aggressori. Gli infostealer prendono di mira i gamer infettando i loro dispositivi tramite giochi crackati, mod non ufficiali o strumenti di performance “gratuiti” contenenti malware. Gli account di gioco spesso conservano dati di pagamento e acquisti digitali, e le sessioni del browser rimangono attive, rendendo questi utenti un bersaglio particolarmente interessante per gli hacker.
Il profilo “IT pro”
Per quanto possa sembrare ironico, il profilo dell’IT pro è un obiettivo primario per i malintenzionati. Gli infostealer colpiscono duramente i professionisti IT perché i loro endpoint (principalmente PC utilizzati per l'ingegneria o l'amministrazione IT) concentrano in unico posto credenziali di alto valore e accessi amministrativi. Spesso memorizzano login, token API e credenziali di accesso remoto insieme ai dati di navigazione quotidiani. Se un infostealer arriva su un dispositivo di questo tipo, i dati del browser rubati possono diventare il primo tassello per accedere agli strumenti e alle infrastrutture interne.
Perché il furto dei cookie può essere più efficace delle password e dell'autenticazione a più fattori (MFA)
Con il miglioramento nel tempo della sicurezza degli accessi, anche le tattiche degli infostealer si sono evolute. Oggi questi malware puntano più frequentemente ai cookie di autenticazione e ai token di sessione piuttosto che alle password. Questo cambiamento riflette il modo in cui le persone accedono ai propri account. Sempre più utenti, infatti, si affidano a gestori di password e all'autenticazione a più fattori (MFA), quindi gli aggressori cercano di ottenere dati che consentano di aggirare queste difese.
I cookie e i token vengono emessi dopo un accesso riuscito, il che significa che a volte possono consentire a un aggressore di accedere a un account senza attivare un'altra schermata di accesso o una richiesta MFA. Ciò che amplifica il rischio è la durata di validità di una sessione. Un token rubato può essere riutilizzato fino alla scadenza della sessione o alla sua revoca da parte del servizio, offrendo agli aggressori la possibilità di muoversi attraverso i servizi a cui hanno effettuato l'accesso.
Nei mercati clandestini, i dati delle sessioni rubate sono ora trattati come una merce a sé stante, con la “freschezza” di un log che ne determina direttamente il prezzo. Il passaggio dal furto di password al furto di cookie di sessione e token è un buon esempio di come gli aggressori reagiscono e si adattano a difese di autenticazione più forti.
Come ridurre il rischio che il tuo dispositivo venga infettato da malware infostealer
Per ridurre il rischio di infezione da infostealer, limita il numero di account e accessi che il tuo dispositivo memorizza contemporaneamente. In questo modo, se un malware dovesse compromettere il dispositivo, l’azione dell’aggressore sarà circoscritta. L’idea è semplice: ridurre il raggio d’azione dei malware rafforzando gli account e le sessioni che potrebbero sbloccare altri servizi collegati. I passaggi seguenti descrivono come farlo senza stravolgere la tua routine online.
- Proteggi prima i tuoi account più sensibili. Pensa in termini di gateway, non al numero totale di account. Proteggi prima la tua email principale e il login della tua identità, poi estendi le stesse misure ai servizi bancari, di shopping e di lavoro più importanti. Usa sempre autenticazione a più fattori (MFA) e passkey quando disponibili, evitando di lasciare questi account critici protetti soltanto da una password.
- Fai in modo che il tuo browser “ricordi” meno cose possibili. Controlla regolarmente le password memorizzate dal tuo browser o dal tuo password manager, elimina quelle che non usi più ed esci da tutte le sessioni che non ti sembrano familiari. Mantieni sempre aggiornati il tuo sistema operativo e il browser: le versioni obsolete sono più vulnerabili agli attacchi e più difficili da ripristinare in caso di infezione da infostealer.
- Usa cautela con i download e gli strumenti “gratuiti”. Evita di installare launcher non ufficiali o software crackato. Se un programma ti chiede di disattivare protezioni o bypassare controlli di sicurezza, consideralo un chiaro segnale di allarme e interrompi subito l’installazione.
- Fai attenzione ai segnali di appropriazione e cambia rapidamente l'accesso. Considera gli avvisi di accesso imprevisti, le email di reimpostazione della password che non hai richiesto e gli accessi da nuovi dispositivi come segnali di appropriazione dell'account. Modifica le password utilizzando un altro dispositivo (non quello che sospetti sia stato infettato), revoca le sessioni attive dove il servizio lo consente e rivedi le impostazioni di recupero dell'account in modo che gli aggressori non possano rientrare tramite email o codici di backup.
La sicurezza online inizia con un semplice clic.
Resta al sicuro con la VPN leader a livello mondiale
