Quali Infostealer sono più diffusi in Italia?

Nelle nostre analisi CTI individuiamo sempre più spesso set di dati provenienti da Infostealer riconducibili ad account aziendali.

Gli infostealer sono dei particolari tipi di malware (ovvero software malevoli) appositamente creati per esfiltrare dati sensibili. Una volta installati sul sistema di un utente, gli infostealer operano in modo silenzioso, raccogliendo dati  e trasmettendoli a un attaccante remoto. Questo può portare a furti d’identità, perdite finanziarie, violazioni della privacy e altri seri problemi di sicurezza per le vittime.

La pratica del BYOD (Bring Your Own Device) e più in generale la crescente dipendenza dai sistemi digitali ha determinato questa crescita creando degli scenari particolarmente problematici nelle grandi organizzazioni che hanno visto aumentare esponenzialmente la propria esposizione online.

Il nostro Security Operation Center (SOC) ha evidenziato i dati sugli infostealer che ha incontrato più spesso nelle sue indagini mettendo in luce i modelli e i metodi utilizzati da infostealer come RedLine Stealer, MetaStealer, MysticStealer e AuroraStealer. 

I gruppi criminali più attivi sono Bugatti_Cloud, SNATCH, YT&TEAM, Redline_Market, metastealer, AnubisCloud (Mystic) e Ottoman Cloud.

Il principale vettore di distribuzione sono le “crack”.

L’infostealer viene camuffato nelle patch utilizzate per aggirare i sistemi di pagamento di vari programmi: come Acrobat e la suite Adobe, videogiochi, e cheat tools. 

La caratteristica di un Infostealer è di raccogliere le informazioni in modo mirato, individuando e sottraendo credenziali salvate nei browser, cookies di sessione, autofills (parole salvate nei browser per l’autocompletamento dei form), email, qualsiasi file contenente la parola ‘password’ nelle directory utente (Desktop, Documenti,etc..), tutti i file .txt del Desktop le sottocartelle, screenshot del desktop, processi attivi, informazioni pc e utente loggato (ip, country, hardware, Build ID, etc), antivirus presenti, lingua tastiera, etc..

I link per scaricarli si trovano spesso nei commenti o nelle descrizioni dei video di YouTube 

Quali sono le nostre raccomandazioni per i sistemi aziendali? 

• Educare gli utenti sui rischi dei download sospetti e dell’uso di software non autorizzati.
• Abilitare ovunque possibile l’autenticazione multi-fattore per prevenire che chi ha esfiltrato i dati possa accedere liberamente agli account. 
• Implementare soluzioni EDR robuste e rigorose policy di sicurezza.
• Monitorare e aggiornare costantemente la rete per individuare attività sospette e prevenire lo sfruttamento di vulnerabilità. 

La parola d’ordine è sempre proattività. Adottare strategie di sicurezza mirate a prevenire fuoriuscite di dati non autorizzate e mettere in sicurezza i servizi che hanno subito data breach è una priorità per ogni azienda che non vuole rischiare di avere accessi indesiderati.

Con il nostro servizio CTI monitoriamo ogni giorno un database di oltre 96 miliardi di credenziali esfiltrate. Proteggi i tuoi dati e quelli dei tuoi clienti.