Infostealer: cosa sono e come proteggersi

Infostealer: il software malevolo sempre più usato dai cybercriminali

La situazione italiana dal punto di vista della sicurezza informatica è tutt’altro che rosea: negli ultimi anni, è aumentato in maniera vertiginosa l’impatto degli attacchi informatici sulle PMI italiane, un bersaglio sempre più gettonato dai cybercriminali.

All’interno di questo trend negativo, salta all’occhio un dato relativo ai malware in circolazione: secondo un report di Cert-Agid, ben il 78% dei malware diffusi in Italia nel corso del 2023 appartengono alla categoria degli infostealer, software malevoli che infettano i sistemi allo scopo di rubare dati.

Questi malware specializzati, che in molti casi vengono sviluppati e poi venduti come “servizio” ad altri attori malevoli, scovano un accesso rapido alle aziende, si introducono e provvedono al furto immediato di dati, credenziali e informazioni sensibili. I dati rubati vengono poi venduti sul dark web ad altri criminali.

Il mercato degli infostealer e dei log rubati

L’aumento degli incidenti che coinvolgono gli infostealer va di pari passo con l’aumento del loro mercato. Gli infostealer vengono infatti venduti dagli sviluppatori nei forum di cybercriminali, su Telegram o altre piattaforme di messaggistica ad altri criminali, che li usano a loro volta per rubare informazioni sensibili.

Le informazioni rubate, come cookie e password di browser, credenziali di accesso, dati bancari, informazioni personali e molto altro, vengono vendute nuovamente su altri forum del dark web a prezzi spesso irrisori, che ne facilitano la diffusione massiva tra cybercriminali.

La crescita del mercato degli infostealer evidenzia ulteriormente la pericolosità di questo malware. Sempre più cybercriminali dispongono di infostealer e li diffondono in rete; nel prossimo paragrafo, illustreremo in che modo gli infostealer vengono rilasciati sul web.

Come avviene la diffusione di un infostealer

Un infostealer si propaga mediante i canali di comunicazione più comuni attraverso il phishing, una delle tipologie più comuni di attacco hacker. Tra questi rientrano strumenti aziendali come allegati di e-mail, link dannosi e software malevoli, elementi comunemente usati dal personale all’interno di un’azienda.

Questi strumenti costituiscono degli ottimi punti di accesso per gli infostealer, che possono introdursi in un sistema attraverso varie tipologie di programmi dannosi, ad esempio nascondendosi all’interno di applicazioni che, a prima vista, ha un funzionamento del tutto legittimo.

È esattamente questa caratteristica a trarre in inganno gli utenti di un’azienda che, a propria insaputa, fanno clic su link e allegati considerati attendibili, oppure inseriscono le proprie credenziali all’interno di app che imitano in tutto e per tutto un software originale, ad esempio per l’internet banking o i pagamenti online.

Come prevenire la diffusione di un infostealer

Gli infostealer sono pericolosi, ma funzionano solamente quando l’utente consente loro l’accesso iniziale a un’applicazione o a un sistema operativo. Per proteggersi da questa minaccia, un’azienda deve quindi seguire alcune indicazioni principali:

• formare il personale: il punto di partenza di qualsiasi strategia di cybersecurity è la formazione del personale, che deve saper riconoscere le possibili fonti di minaccia, nonché distinguere contenuti reali da contenuti malevoli.
• gestire correttamente dispositivi e password: è importante che ciascun utente gestisca in modo corretto i propri dispositivi aziendali e applichi le migliori pratiche per quanto riguarda l’archiviazione delle password.
• supporto di un partner IT: la strategia più efficace per proteggersi contro gli infostealer è sicuramente quella di affidarsi a un partner IT provvisto di Security Operations Center dedicato, che monitora ogni endpoint aziendale con soluzioni quali il Managed Extended Detection and Response (MXDR) per ricercare attivamente gli infostealer.

L’importanza della formazione in azienda

Come per molte altre minacce informatiche, formare gli utenti è il modo più immediato di prevenire un furto di informazioni. Il phishing è la tecnica più utilizzata per diffondere un infostealer; per questo è importante addestrare il personale a riconoscere link fasulli, allegati dannosi e applicazioni false con vere e proprie simulazioni di attacchi phishing.

In un’azienda che gestisce costantemente grandi volumi di e-mail, link di vario tipo e dati bancari di clienti e fornitori, formare il personale affinché conosca i possibili punti di ingresso per un infostealer può ridurre drasticamente il rischio di incidenti.

Gestire al meglio dispositivi aziendali e password

Un’altra importante misura di prevenzione è la protezione della propria navigazione sul Web, ad esempio introducendo un blocco dei siti considerati non attendibili. Parallelamente, è fondamentale che gli utenti gestiscano in modo corretto le proprie password sui browser, ad esempio con dei password manager.

Tuttavia, gli infostealer sono malware sempre più avanzati e possono bypassare facilmente molti strumenti di prevenzione. Per questo è altrettanto importante neutralizzare le vulnerabilità di applicazioni e sistema operativi eseguendo sempre tutti gli aggiornamenti.

Il ruolo di una partner IT specializzato in cybersecurity

La misura più efficace rimane quella di affidare la gestione della propria sicurezza informatica a un partner IT dotato di Security Operations Center dedicato. Un SOC può infatti attuare una strategia di threat hunting mirata a ricercare gli infostealer sul dark web, per poi applicare regole specifiche di isolamento e rimozione.

Grazie alla cyber threat intelligence, l’analisi dei dati raccolti durante la fase di hunting, è possibile mantenere aggiornate le misure di sicurezza aziendali e adeguarle secondo le nuove minacce diffuse in rete, tra cui gli infostealer più recenti e pericolosi.