Infostealer: cosa sono e come difendersi

Infostealer: cosa sono e come difendersi

Viviamo in un’epoca dove facciamo praticamente tutto online: accediamo a conti bancari, navighiamo sui social network e utilizziamo le piattaforme aziendali, spesso però senza considerare le minacce silenziose che popolano il “sottobosco” del web. Tra le più pericolose ci sono i cosiddetti infostealer, una categoria di software malevola e decisamente subdola. A differenza dei virus, che bloccano i computer o fanno apparire messaggi minacciosi, questi agenti operano nell’ombra con un solo obiettivo: sottrarre informazioni personali senza lasciare traccia. In questo articolo analizziamo proprio la natura dei malware infostealer, il loro funzionamento e soprattutto le strategie necessarie per prevenire il furto della propria identità digitale.

Cosa sono gli infostealer e perché rappresentano una minaccia

Gli infostealer, abbreviazione di “Information Stealers”, sono una tipologia di malware progettati appositamente per rubare dati da un computer infetto. Spesso classificati come Trojan, si presentano come software innocui per ingannare l’utente e indurlo all’installazione.

Sono particolarmente subdoli proprio perché si presentano sotto mentite spoglie. Mentre un ransomware annuncia la sua presenza, criptando i file e poi chiedendo un riscatto, un infostealer si muove nell’ombra e resta invisibile. Dopo essere entrato nel sistema opera in background, raccogliendo dati e inviandoli a server remoti controllati da criminali informatici.

Per le aziende e i privati rappresenta una grave minaccia, poiché ci si accorge dell’infezione solo settimane o mesi dopo, quando i dati rubati ormai sono stati utilizzati per frodi o venduti nel dark web.

Infostealer: cosa sono e come difendersi

Quali dati rubano gli infostealer

L’obiettivo principale di un infostealer è raccogliere tutto ciò che può essere monetizzato, scansionando le posizioni del sistema operativo dove sanno di poter trovare informazioni di valore. I bersagli preferiti comprendono:

  • credenziali salvate nel browser: username e password memorizzate;
  • cookie di sessione: file che permettono di accedere ai siti senza dover reinserire la password, aggirando così l’autenticazione a due fattori;
  • portafogli di criptovalute: dati relativi a wallet, come MetaMask o Exodus, incluse le chiavi private;
  • dati delle carte di credito: numeri, scadenze e CVV salvati nei moduli di riempimento automatico;
  • informazioni di sistema: dettagli sull’hardware, indirizzo IP e lista dei software installati, utili per valutare il valore del bersaglio.

Come funzionano

Il ciclo di vita di un infostealer è rapido ed efficiente. Una volta installato sul dispositivo della vittima, il malware comunica con un server di comando e di controllo, dopodiché avvia immediatamente una scansione del disco rigido e dei browser installati.

Grazie a tecniche sofisticate, il malware decripta le password salvate nei database locali dei browser, che sono normalmente protetti, e copia i cookie attivi. Tutti i dati raccolti vengono compressi in un unico archivio, spesso chiamato “log”, e inviati al server dell’hacker. In molti casi, dopo aver completato il processo di furto dei dati, chiamato tecnicamente esfiltrazione, l’infostealer si autodistrugge oppure resta dormiente in attesa di scaricare ulteriori dati dannosi, rendendo difficile l’individuazione.

I principali vettori di infezione

Per difendersi dal nemico è importante conoscerlo e, in questo caso, è fondamentale capire quali canali utilizzano questi malware per attaccare silenziosamente i nostri computer. I metodi più diffusi sono i seguenti:

  • software piratato o crack: scaricare programmi illegali o cosiddetti crack per attivare software a pagamento rischia di aprire le porte agli hacker, stendendo loro un tappeto rosso per penetrare nei computer. Spesso il software funziona davvero, ma installa silenziosamente l’infostealer in background;
  • phishing via email: allegati malevoli, come fatture false o documenti urgenti, che eseguono lo script di infezione dopo essere stati aperti;
  • malvertising (pubblicità malevola): gli hacker acquistano spazi pubblicitari su motori di ricerca o social media, diffondendo pubblicità ingannevole e malevola. Cliccando su un annuncio che promette un software gratuito, l’utente viene reindirizzato a un malware del sito, cioè una pagina clone che sembra legittima, ma che in realtà scarica il virus;
  • video YouTube ingannevoli: tutorial che promettono trucchi per videogiochi o software gratuiti, con link di download infetti nella descrizione.

Attacchi successivi: dal furto dati all’account takeover

Il furto dei dati purtroppo è solo l’inizio. Dopo che i criminali informatici sono entrati in possesso dei “log”, questi vengono messi in vendita su marketplace illegali nel dark web o sui canali Telegram.

L’uso più immediato e diffuso è l’Account Takeover (ATO). Utilizzando i cookie di sessione rubati, gli hacker possono accedere negli account social, aziendali o nelle email della vittima, senza conoscere la password e bypassando l’autenticazione a due fattori. In ambito aziendale, questo scenario è catastrofico. Gli infostealer sono spesso utilizzati dagli “Initial Access Brokers”, cioè attori delle minacce informatiche specializzati nell’ottenere accessi non autorizzati, per poi rivendere questi accessi ad altri criminali informatici che possono chiedere riscatti, arrivando a bloccare intere aziende e infrastrutture.

Cosa fare dopo un’infezione

Se si sospetta di essere stati infettati, bisogna agire nel modo più rapido possibile.

La prima cosa da fare è disconnettere il dispositivo, staccando il computer da Internet per impedire al malware di inviare altri dati e ricevere nuovi comandi. Il secondo passo è ripristinare il sistema. Benché gli antivirus possano rimuovere i file infetti, non possono garantire che il sistema sia pulito al 100%. Bisogna quindi procedere alla formattazione completa e alla reinstallazione del sistema operativo.

Altro passaggio fondamentale è cambiare tutte le password degli account, iniziando dalla posta elettronica e dai servizi bancari, utilizzando però un dispositivo diverso e sicuro, come lo smartphone. Infine bisogna terminare tutte le sessioni attive e, per farlo, è necessario andare nelle impostazioni di sicurezza dei propri account e selezionare l’opzione “Disconnetti da tutti i dispositivi” per invalidare i cookie rubati.

Strategie di prevenzione

La prevenzione è la cosa migliore, ma richiede una combinazione di strumenti tecnici e buone abitudini digitali.

Una delle regole d’oro da seguire sempre è evitare software piratati, scaricando solo software dai siti ufficiali dei produttori. Altra buona pratica è non salvare le password nel browser, benché sia una cosa molto comoda. Il problema è che i browser spesso sono i primi bersagli, quindi è preferibile utilizzare un Password Manager che cripta i dati in modo sicuro.

Laddove possibile, è preferibile utilizzare app di autenticazione o chiavi fisiche, invece degli SMS. In particolare le chiavi fisiche sono molto efficaci contro il furto di credenziali. Vanno poi aggiornati periodicamente sistema operativo, browser e antivirus per tappare tutte le falle di sicurezza. Infine è utile abilitare la visualizzazione delle estensioni dei file in Windows. Adottare queste precauzioni riduce la vulnerabilità del proprio sistema, proteggendo non solo i dati personali, ma anche le reti aziendali alle quali si ha accesso.

Tag

Articoli correlati