Gli infostealer, non un altro malware, ma il nuovo “oro nero” del cybercrimine.
La fotografia nel documento ACN
Gli infostealer non sono “ un altro malware”, ma sono il nuovo “oro nero” del cybercrimine.
Gli infostealer sono la forza motrice che alimenta ransomware, frodi finanziarie, furti d’identità e accessi iniziali alle reti aziendali, spesso mesi dopo l’infezione originaria.
Dall’infezione silente al breach
Gli information stealer – o infostealer – sono malware progettati per raccogliere in modo illegittimo informazioni dai dispositivi compromessi e inviarle a infrastrutture controllate dagli attaccanti.
Questi dati diventano “stealer log”: pacchetti di credenziali, cookie, file e configurazioni che alimentano un’economia criminale strutturata, dove chi sviluppa il malware non è necessariamente lo stesso che lo userà per colpire aziende e PA.
Nel mirino finiscono:
- Credenziali di accesso a online banking, social media, caselle e‑mail, VPN e FTP.
- Dati di browser e sessioni (cronologia, cookie, token, estensioni).
- Informazioni finanziarie (carte, conti) e portafogli di criptovalute.
- Dati personali e contenuti presenti nella clipboard.
- Documenti e file sensibili (PDF, Office, immagini, proprietà intellettuale) insieme ai dettagli su hardware, software e soluzioni di sicurezza installate.
Il risultato è un salto di qualità rispetto al malware “tradizionale”: non si compromette più solo una macchina, ma l’intero perimetro “di fiducia” legato alle identità digitali dell’utente – personali e lavorative.
I numeri della minaccia: il quadro tracciato da ACN
Il documento di ACN “Infostealer – Caratteristiche della minaccia e raccomandazioni” fotografa una minaccia ormai strutturale.
Nel 2023 si stima che gli infostealer abbiano compromesso circa 500 milioni di dispositivi, generando oltre 2 miliardi di log distribuiti nell’ecosistema criminale.
Per il 2025, guardando ai soggetti italiani, le famiglie maggiormente responsabili dell’esfiltrazione di credenziali risultano:
| Famiglia infostealer | Ruolo nel contesto italiano 2025 |
| LummaC2 | Principale responsabile per numero di credenziali esfiltrate da soggetti italiani. |
| RedLine Stealer | Seconda famiglia per volume di credenziali rubate in Italia. |
| DcRat | Tra i top infostealer per impatto su credenziali italiane. |
| StealC | Presente sia nel contesto nazionale sia in quello internazionale. |
| Vidar Stealer | Tra le famiglie più attive nel furto di credenziali da utenti italiani. |
A livello globale, sempre nel 2025, gli infostealer più “redditizi” in termini di credenziali compromesse includono LummaC2, RedLine Stealer, Arkei Stealer, StealC e Raccoon Stealer.
È un ecosistema ampio, ma alcuni nomi ricorrono con insistenza nei log che riguardano utenti e aziende italiane.
Come entra un infostealer in azienda
Uno dei messaggi chiave del report ACN è che gli infostealer sfruttano vettori estremamente comuni, perfettamente allineati con le abitudini digitali di utenti e dipendenti.
I 3 PRINCIPALI CANALI DI ACCESSO:
Phishing
È il vettore dominante: email di finte comunicazioni bancarie o servizi cloud o tool aziendali, contenenti allegati malevoli (PDF, documenti Office con macro, HTML) o link a siti compromessi.
Campagne massive sfruttano botnet per aumentare il volume, mentre lo spear‑phishing costruisce messaggi iper‑personalizzati su ruoli chiave, supply chain e contatti fidati.
Drive‑by compromise e malvertising
Basta visitare un sito compromesso per eseguire in background il codice dell’infostealer.
Tecniche come il malvertising (adv malevoli comprati su network legittimi) e l’SEO poisoning (portare siti malevoli ai primi posti nei motori di ricerca) spostano parte del rischio dal “cliccare sull’allegato” al semplice “navigare su un sito apparentemente affidabile”.
Software contraffatto e download non ufficiali
Versioni pirata di software popolari, tool di cracking, videogiochi, “free trial” di programmi a pagamento: canali perfetti per creare la strada per il vero attacco, spesso veicolati anche su piattaforme pubbliche.
Questo vettore è particolarmente efficace sull’utenza consumer, ma i log raccolti finiscono poi su marketplace dove vengono acquistati da attori interessati a colpire ambienti enterprise.
Il punto cieco: Il Case study
Il caso studio riportato dal CSIRT Italia è emblematico: un ente di ricerca viene colpito da ransomware, con server e client cifrati e interruzione dei servizi.
Grazie a backup efficaci l’impatto sui dati viene contenuto, ma resta un interrogativo: come ha ottenuto l’attaccante le credenziali VPN del dipendente usate come punto di ingresso?
L’analisi mostra che:
- La postazione aziendale è pulita, senza evidenze di infostealer né phishing.
- Settimane dopo, le credenziali VPN appaiono in un pacchetto di log di un noto infostealer, prima venduto e poi pubblicato gratuitamente.
- Il laptop personale del dipendente, usato sporadicamente per accedere via VPN, era stato infettato circa sei mesi prima.
La catena è chiara: infostealer “consumer” → furto credenziali VPN → vendita nel mercato criminale → acquisto da parte di un gruppo ransomware → compromissione dell’ente di ricerca.
Chi diffonde il malware e chi lancia il ransomware sono due attori distinti, ma collegati dal valore di quei log.
Dietro le quinte: economia MaaS, log market e Initial Access Broker
Gli infostealer non sono solo codice: sono un modello di business. Non sono “ un altro malware”, ma il nuovo “oro nero” del cybercrimine.
Il report ACN descrive un ecosistema che ruota attorno al Malware‑as‑a‑Service (MaaS), dove competenze e responsabilità si distribuiscono lungo la catena del valore.
I PROTAGONISTI DELL’ECOSISTEMA:
- Sviluppatori e operatori MaaS
Offrono abbonamenti mensili (spesso tra 50 e 250 dollari) che includono l’uso dell’infostealer, un’infrastruttura di comando e controllo, assistenza tecnica e pannelli per analizzare i log raccolti.
Varianti per sistemi meno comuni (es. macOS) tendono ad avere costi più elevati, riflettendo la minore disponibilità di malware di qualità su quei target.
- Mercati di log
- Mercati centralizzati: piattaforme che aggregano enormi volumi di log, con filtri per Paese, ISP, famiglia malware, data di raccolta.
- Mercati decentralizzati: canali basati su piattaforme di messaggistica, dove i contenuti vengono condivisi tramite abbonamenti (100–500 dollari/mese) e link cloud privati.
I log “spremuti” o di scarso valore possono essere diffusi gratuitamente per alimentare reputazione e visibilità del threat actor.
- Mercati centralizzati: piattaforme che aggregano enormi volumi di log, con filtri per Paese, ISP, famiglia malware, data di raccolta.
- Initial Access Broker (IAB)
Comprano log in massa, estraggono accessi di alto valore (es. VPN aziendali, pannelli amministrativi, servizi finanziari), ne verificano la validità e talvolta installano meccanismi di persistenza.
Successivamente rivendono questi accessi – spesso a operatori ransomware – a prezzi sensibilmente superiori, anche nell’ordine delle migliaia di dollari per singola infrastruttura.
Per le aziende, questo significa che le proprie credenziali possono circolare e le “mani criminali” possono cambiare ben prima che un incidente venga rilevato sul perimetro interno.
Cosa fare secondo ACN: linee guida operative per alzare la resilienza
ACN propone un set di raccomandazioni differenziate per individui e organizzazioni, modulato per livello di maturità cyber.
Qui un estratto che può essere facilmente tradotto in policy aziendali, piani di awareness e requisiti minimi di sicurezza.
Priorità per gli individui
- Abilitare MFA ovunque possibile (e-mail, social, banking, VPN) per rendere meno banale il riuso delle credenziali contenute nei log.
- Installare e mantenere aggiornate soluzioni di sicurezza affidabili su tutti i dispositivi, personali e aziendali.
- Scaricare software solo da fonti ufficiali, evitando siti di terze parti, portali pirata e link condivisi in forum o canali non verificati.
- Gestire con prudenza autofill e salvataggio password del browser, preferendo gestori di password dedicati e cifrati.
- Aggiornare regolarmente sistemi operativi e applicazioni, riducendo la superficie di attacco per exploit basati su drive‑by compromise.
Per utenti più maturi, ACN suggerisce anche di ridurre la durata dei cookie di sessione e adottare pratiche di logout esplicito, limitando l’impatto del furto di cookie e token di sessione.
Priorità per le organizzazioni
Per le aziende – e per un Vendor come Gyala – ha senso ragionare in termini di “baseline” + “hardening progressivo”.
- Baseline (maturità di base)
- MFA obbligatoria per tutti i servizi esposti su Internet, in particolare accessi VPN e account privilegiati.
- Politiche strutturate per password robuste, gestione delle utenze e deprovisioning tempestivo.
- Programmi di formazione continua su phishing, download sicuri e rischi legati all’uso di device personali.
- Monitoraggio del traffico di rete e dei log endpoint, con capacità minime di rilevazione di anomalie legate a esfiltrazione (es. connessioni inusuali verso servizi di file‑sharing o piattaforme di messaggistica).
- MFA obbligatoria per tutti i servizi esposti su Internet, in particolare accessi VPN e account privilegiati.
- Maturità intermedia
- Applicazione rigorosa del principio del privilegio minimo, separazione tra account admin e account di uso quotidiano.
- Adozione di soluzioni di protezione e filtraggio della posta (SPF, controlli DKIM/DMARC, sandboxing allegati).
- Policy per limitare l’esecuzione da directory temporanee e per controllare l’uso di PowerShell e script.
- Implementazione di EDR e strumenti di detection comportamentale per intercettare pattern tipici di collection ed esfiltrazione.
- Applicazione rigorosa del principio del privilegio minimo, separazione tra account admin e account di uso quotidiano.
- Maturità avanzata
- Introduzione di autenticazione basata su certificati per gli accessi più critici.
- Investimento in capacità di Cyber Threat Intelligence per identificare la presenza di credenziali aziendali all’interno di log infostealer nei mercati criminali.
- Revisione e chiusura di porte/protocolli non necessari (in particolare RDP, Telnet, Microsoft RPC, FTP) per ridurre le possibilità di escalation dopo un accesso iniziale basato su credenziali.
- Introduzione di autenticazione basata su certificati per gli accessi più critici.
Come può supportarvi Gyala
La fotografia della minaccia offerta da ACN mette in luce una verità: spesso il vero “paziente zero” non è un exploit zero‑day, ma una combinazione di cattive abitudini digitali, dispositivi personali non protetti e mancanza di visibilità sui log che circolano nell’ecosistema criminale.
In questo scenario un vendor di cybersecurity può creare valore non solo “difendendo il perimetro”, ma aiutando le aziende a:
- Integrare telemetrie di endpoint, rete, identity e threat intelligence per intercettare pattern tipici degli infostealer prima che diventino ransomware.
- Definire policy e controlli specifici automatici, con un focus esplicito su furto di credenziali e sessioni.
- Controllare costantemente tutti i movimenti laterali o le attività anomale rispetto al comportamento di un servizio o di un utente , bloccando istantaneamente l’attività
