LummaC2, RedLine Stealer e DcRat sono tra le famiglie di infostealer più attive nell’esfiltrare dati attribuiti a vittime italiane, oltre a costituire il vettore di compromissione iniziale di cyber attacchi più complessi.

“Gli infostealer non sono più ‘semplice’ malware da commodity: dal rapporto emerge la centralità di tali strumenti nell’economia del cybercrime”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

“A colpirmi è in particolare la normalizzazione del mercato dei log”, avverte Dario Fadda, esperto di cyber sicurezza e collaboratore di CyberSecurity360.it.

Ecco cosa fotografa il report Acn, il primo sugli infostealer.

Il report dell’Acn sugli infostealer

La cyber criminalità li utilizza per rubare credenziali di accesso a servizi digitali ed altri dati personali e sensibili.

L’ecosistema criminale “strutturato e altamente specializzato” vede gli attori sfruttare gli infostealer per effettuare operazioni su fasi mirate della catena di attacco, spaziando dalla distribuzione del malware alla possibilità di monetizzare i dati sottratti, al fine di rendere più efficienti e scalabili le operazioni malevole.

Il furto di una solo credenziale è potenzialmente la prima fase di una catena di eventi che sfocia in compromissioni su larga scala.

“Il report Acn mostra come famiglie come LummaC2, RedLine e DcRat alimentino un mercato di log e credenziali rubate che sono abilitanti a diverse pratiche criminali, come attacchi ransomware, BEC e compromissioni cloud“, spiega Paganini: “la singola password sottratta oggi potrebbe divenire l’entry point di domani”.

Ma a stupire è “la normalizzazione del mercato dei log: abbonamenti low cost, stealer pronti all’uso, Telegram come C2 e marketplace, log ‘premium’ per certi Paesi o settori, quasi fosse un SaaS legittimo con segmentazione e pricing”, evidenzia Dario Fadda.

L’analisi dell’Acn

Gli infostealer sono minacce create per la raccolta e l’esfiltrazione di informazioni sensibili dai dispositivi, una volta compromessi.

L’evoluzione di questi software malevoli vede le strategie di attacco spaziare dal modello della Cyber Kill Chain all’ecosistema cyber crime che ruota attorno a questa categoria di malware.

Ecco un caso studio reale gestito dal CSIRT Italia che esemplifica come gli infostealer rappresentano frequentemente il punto di partenza per attacchi più più articolati, compresi attacchi di tipo ransomware.

I rischi derivanti dall’esfiltrazione delle informazioni:

• furto d’identità;
• danni economici, in caso di accesso a banking online o di furto di criptovalute;
• accessi non autorizzati ad account personali o professionali, in particolare nel caso di politiche di BYOD o nel caso in cui si condividono le credenziali per servizi differenti;
• violazione della privacy;
• danni reputazionali ed esposizione a ricatti;
• sofisticati attacchi di social engineering;
• eventuale perdita di proprietà intellettuale.

Un caso di studio reale

Nelle attività di risposta e gestione degli incidenti avvenute nel 2024, il CSIRT Italia è stato coinvolto nella gestione di un incidente riconducibile a un attacco ransomware che ha riguardato un ente operante nell’ambito della ricerca.

In fase di triage, il CSIRT ha analizzato il parco macchine, scoprendo che l’accesso iniziale era riconducibile a un account VPN intestato a un dipendente dell’ente, privo di privilegi elevati. Una volta eseguito l’accesso tramite credenziali valide, l’aggressore ha effettuato attività di movimento laterale nella rete e, quindi, un’escalation dei privilegi (Privilege Escalation) che, avvalendosi di una configurazione di sicurezza debole, gli ha permesso di acquisire il controllo completo del dominio (Domain Dominance). A quel punto è stato in grado di diffondere il ransomware mediante l’uso di una semplice Group Policy.

Per impossessarsi delle credenziali VPN del dipendente, che usava infatti una password robusta e non erano caduto vittima di campagne di phishing, l’aggressore si era limitato a sfruttare le credenziali dell’account VPN comprese in un pacchetto di dati frutto dell’attività di raccolta di un noto infostealer, già commercializzato e poi divulgato pubblicamente gratuitamente. Il notebook personale del dipendente, usato solo raramente per l’accesso da remoto all’infrastruttura dell’ente tramite VPN, risultava infettato dall’infostealer circa sei mesi prima rispetto all’accesso iniziale dell’attaccante.

Secondo CSIRT Italia, l’autore dell’attacco ransomnware avrebbe comprato il pacchetto di credenziali compromesse, per esempio attraverso un marketplace criminale o uno scambio privato.

Questo caso sottolinea, secondo il report, “la natura modulare e stratificata delle minacce infostealer”, vettori primari anche per ottenere l’accesso iniziale a infrastrutture potenzialmente difficili da compromettere.

“Secondo il rapporto Mandiant M Trends 2025, le credenziali rubate rappresentano la seconda causa di violazioni di sicurezza (16% casi), con un boom legato proprio agli infostealer, che colmano il gap tra exploit e accessi reali”, mette in guardia Paganini.

Le raccomandazioni nel report dell’Acn per evitare gli infostealer

Per tutelare i propri asset dalla minaccia infostealer, occorre adottare misure preventive.

Per alzare il livello di resilienza alla minaccia, occorre implementare MFA, effettuare download solo da siti e marketplace ufficiali, mantenere aggiornati i propri sistemi operativi e software, non cliccare su allegati e link inviati via Sms.

“Dal punto di vista difensivo, il caso studio sulla compromissione via laptop personale infetto conferma un punto scomodo: finché continuiamo a sottovalutare il rischio BYOD e gli endpoint domestici, stiamo lasciando aperta la porta laterale alle nostre infrastrutture più critiche“, avverte Dario Fadda: “Trovo molto centrata anche l’idea che il problema non sia solo l’esfiltrazione immediata, ma la persistenza nel tempo del rischio: un log infostealer può riemergere mesi dopo, in mano a un attore diverso, con un impatto completamente nuovo”.

Occorre inoltre disabilitare il salvataggio automatico delle password, preferendo password manager custodire credenziali robuste. Bisogna monitorare gli accessi e controllare i dati salvati dall’opzione autofill.

Per i cookie di sessione è infine necessario accorciare i timeout ed effettuare i logout da tutti gli account, oltre a cancellare i cookies.

“ENISA Threat Landscape 2025 evidenzia come questi malware alimentino piu’ del 50% degli attacchi ransomware, trasformando una password rubata in compromissioni cloud e attacchi alla supply chain. Le raccomandazioni ACN – MFA phishing resistant, browser hardening, monitoraggio esposizione su leak site – sono essenziali, ma serve una strategia nazionale per tracciare e smantellare i marketplace di log. A tal fine trovo estremamente interessante e utile il rapporto pubblicato dall’agenzia nazionale”, conclude Paganini.