Infostealers - Come prevenire e mitigare?

Gli infostealer sono un tipo di malware che si infiltra nei sistemi informatici per rubare informazioni sensibili, come credenziali di accesso e informazioni finanziarie. Principalmente mirando ai dati del browser e operando in modo segreto, questa forma di malware che ruba informazioni può diffondersi attraverso molti vettori di attacco, tra cui email phishing , download dannosi, malvertising e altri.

CYBER SECURITY REPORT Richiedi una Demo

Cosa sono gli Infostealers?

Gli infostealer fanno parte di un'industria più ampia di esfiltrazione dei dati, con le informazioni rubate risultanti spesso confezionate e scambiate sul dark web. I cybercriminali commercializzano anche i ladri di informazioni come Malware-as-a-Service (MaaS), abbassando la barriera d'ingresso per i malintenzionati.

Con un ecosistema in maturazione attorno all'esfiltrazione dei dati e uno spostamento dagli altri vettori di attacco, gli infostealer rappresentano una minaccia crescente contro cui devi proteggerti.

Lo stato della cybersecurity nel 2025: i Infostealer sono in aumento

Il rapporto Stato di Cyber Security 2025 di Check Pointapprofondisce la rapida ascesa dei raptori di informazioni:

  • I vari vettori di infezione da malware
  • L'industria in espansione che si è sviluppata attorno all'esfiltrazione dei dati aziendali
  • Le potenziali implicazioni sulla sicurezza dei dati per le aziende

Il rapporto ha rilevato che gli attacchi degli infostealer sono cresciuti del 58% nel 2024.

Sebbene la tecnologia dietro il malware che ruba informazioni non sia evoluta significativamente nell'ultimo anno, il declino dei grandi botnet, la maturazione del più ampio mercato dell'esfiltrazione dati e l'adozione del lavoro da remoto lo rendono un punto di ingresso efficiente per violare il patrimonio aziendale.

Gli attacchi infostealer sono tipicamente ampi, prendendo di mira molte persone e organizzazioni invece di cercare di violare una rete aziendale specifica.

Le ricerche mostrano che il 70% di tutti i Dispositivi infettati da infostealer sono personali piuttosto che aziendali. Uno degli obiettivi principali nel mirare ai Personal Dispositivi è accedere alle risorse aziendali tramite i punti di accesso Bring Your Own Dispositivi (BYOD).

Il Mercato degli Infostealer

Metodo rapido e relativamente semplice per accedere a informazioni aziendali sensibili, gli infostealer possono raccogliere rapidamente quantità significative di log (credenziali di accesso o altre informazioni sensibili che forniscono accesso a una rete aziendale, fungendo da fase iniziale di una violazione dati più ampia).

Malware come servizio

Con la capacità di raccogliere rapidamente grandi volumi di log, i cybercriminali dietro gli infostealer ora li scambiano presso attori minacciosi meno avanzati tecnicamente tramite MaaS.

Esempi delle piattaforme MaaS infostealer più popolari sul dark web includono:

  • RedLine Stealer
  • LummaC2
  • StealC
  • Vidar

Il cliente o affiliato MaaS acquista licenze per questi strumenti infostealer per gestire le proprie campagne di infezione. I lotti di dati rubati restituiti vengono poi venduti o scambiati all'interno del mercato infostealer. Più comunemente tramite piattaforme come Telegram o mercati clandestini, molti dei quali hanno sede in Russia.

Le piattaforme MaaS infostealer competono tra loro in base alla qualità dei log e alla capacità di classificare e presentare rapidamente i dati rubati sul marketplace. Il valore di questi log diminuisce col tempo, man mano che i team di sicurezza vengono a conoscenza della minaccia, rimuovono il software infostealer dalla rete ed eliminano eventuali rischi generati.

Pertanto, i fornitori di infostealer devono fornire un accesso rapido ai loro log più recenti quando sono più preziosi.

Broker di Accesso Iniziale

Un altro attore nell'ecosistema infostealer, oltre a fornitori e affiliati, sono gli Initial Access Brokers (IAB). Sono persone che sfruttano le informazioni iniziali per guadagnare un punto di forza nella rete aziendale.

Essi garantiscono che un log possa essere convertito in un accesso più ampio alla rete. 

Svolgendo questo servizio, possono rivendere l'accesso a obiettivi specifici su forum del dark web, attirando attori minacciosi con obiettivi specifici, come attacchi ransomware. Questi attori potrebbero ulteriormente monetizzare i dati iniziali ottenuti dall'infostealer offrendo capacità di attacco tramite Ransomware-as-a-Service (RaaS).

Il denaro generato da questi schemi, così come i crimini finanziari informatici più semplici (furto d'identità, frodi, transazioni non autorizzate, ecc.), alimentano la crescita dell'ecosistema degli infostealer.

Bersagli Infostealer

L'analisi dei dati rivela che i log più comuni disponibili in vendita appartengono ai maggiori fornitori di servizi online e piattaforme social, con i primi 5 che sono:

  1. accounts.google.com
  2. facebook.com
  3. roblox.com
  4. login.live.com
  5. instagram.com

Data la natura ampia e non mirata della maggior parte delle campagne di infezione per infostealer, non sorprende che le credenziali di accesso rubate appartengano ai servizi più popolari.

Tuttavia, le analisi suggeriscono che i gamer potrebbero essere più suscettibili di altri agli attacchi dei rubatori di informazioni, con la prevalenza delle credenziali di accesso per siti e servizi correlati: Roblox, Discord, Twitch ed Epic Games nella top 13. Questo potrebbe essere dovuto a un'igiene internet meno rigorosa in queste comunità.

Infostealer Geographic Data

Gli infostealer sono spesso strettamente legati alla Russia, con log venduti sui mercati russi. L'analisi dei tronchi sul mercato russo mostra che una parte significativa proviene da luoghi come India e Brasile.

I 5 principali paesi di origine per i tronchi venduti sul mercato russo sono elencati di seguito:

  1. India 10%
  2. Brasile 8%
  3. Indonesia 5%
  4. Pakistan 5%
  5. Egitto 5%

Come prevenire i ladri di informazioni

Proteggere contro il furto di informazioni e l'esfiltrazione di dati richiede processi di sicurezza sofisticati e best practice che coprono l'intera organizzazione. Questo include la protezione di ogni potenziale punto di ingresso, come i BYOD utilizzati per il lavoro remoto o ibrido.

Questi dispositivi estendono notevolmente la tua superficie di attacco e offrono ai ladri di dati molte più opportunità.

Gli IAB possono identificare i log per dispositivi personali che offrono accesso a una rete aziendale preziosa – persino bypassando i meccanismi di autenticazione multifattore (MFA) rubando cookies di sessione trovati su Dispositivi personali. Quindi, qualsiasi processo di sicurezza che hai deve estendersi oltre il tradizionale perimetro aziendale includendo ogni punto di accesso.

Metodi chiave per impedire ai ladri di informazioni di infiltrarsi nei tuoi sistemi:

  • Individuare attacchi di ingegneria sociale: Poiché gli infostealer sono più comunemente distribuiti tramite phishing e download dannosi, la tua migliore difesa è addestrare il tuo staff a individuare attacchi di social engineering. Inoltre, dovresti considerare strumenti di sicurezza email che bloccano email o link sospetti.
  • Prevenire la sincronizzazione del browser: Questo garantisce che le password dei tuoi sistemi aziendali non siano accessibili tramite Dispositivi personali.
  • Utilizzo della Gestione Avanzata delle Identità e del Controllo degli Accessi: Questi sistemi monitorano i comportamenti e rispondono ad attività sospette. Cerca strumenti che blocchino o introducano immediatamente nuovi metodi di verifica al momento dell'identificazione di attività sospette.
  • Cerca proattivamente i log: Cerca log relativi alla tua azienda e ai suoi dipendenti sui mercati infostealer o utilizza threat intelligence del dark web per tracciare potenziali fughe di dati, inclusi account dirottati.
  • Incorporazione Endpoint Rilevamento e Risposta (EDR): Monitorare e risolvere le minacce informatiche del malware come i ladri di informazioni. Utilizzando sia il comportamento che il rilevamento basato su firme, gli strumenti EDR possono identificare rapidamente il malware nella tua rete prima che possa degenerare in una grave violazione dei dati.
  • Sfruttare l'MFA: Sebbene sia possibile per i ladri di informazioni bypassare la MFA tramite sessioni cookies, rimane comunque uno strumento prezioso per proteggere contro l'accesso ad altre forme di dati. L'MFA fornisce una sicurezza nel caso in cui un infostealer ottenga accesso alle credenziali di accesso e tenti di lanciare un attacco più ampio.

Prevenire e mitigare i ladri di informazioni con Check Point

Gli infostealer rappresentano una minaccia crescente alla cybersecurity, permettendo violazioni dati più gravi. Con un vasto ecosistema di cybercriminalità che si sta sviluppando attorno ai ladri di informazioni, questo malware è la chiave per aprire la tua rete agli attori minacciosi di tutto il mondo.

I mercati moderni di infostealer rendono l'hacking aziendale e l'accesso non autorizzato una questione di finanza piuttosto che di abilità tecnica. Database di log sono disponibili per chiunque sia disposto a pagare. Senza adeguate protezioni contro i ladri di informazioni, stai scommettendo che gli attori minacciosi che navigano sul dark web scelgano un altro bersaglio invece della tua attività.

Puoi saperne di più sul crescente rischio dei ladri di informazioni e su come proteggere la tua azienda scaricando il rapporto Stato di Cyber Security 2025 da Check Point.

Per iniziare

Check Point Endpoint Security Protection

Zero Trust Security

Prevenzione Avanzata dalle Minacce di Rete

Argomenti correlati

Tipi di malware

Agent Tesla Malware

FormBook malware

Remcos Malware

Remote Access Trojan (RAT)