La prima metà del 2024 ha visto una persistente tendenza all’utilizzo del malware da parte degli attori malevoli, sebbene con una leggera diminuzione rispetto al periodo precedente (Rapporto Clusit 2024). La vasta gamma di malware disponibile, dal ransomware alle altre tipologie di codice dannoso, offre ai criminali informatici un ampio ventaglio di strumenti per colpire le loro vittime.
Tra queste gli stealer rappresentano il 78% dei malware in Italia e vengono sfruttati principalmente per sottrarre dati da un dispositivo infetto (Report Cert-Agid, 2023). Lumma C2, il malware che si cela dietro falsi CAPTCHA, sottraendo dati personali in modo fraudolento, è proprio tra questi.
Vediamo insieme come funzionano e come mitigarli.
Solitamente, gli stealer mirano a ottenere informazioni riservate come credenziali di accesso (login e password), dati delle carte di credito, portafogli di criptovalute e file archiviati sui computer delle vittime. A differenza di altri tipi di malware, gli stealer non sono progettati per causare danni diretti al sistema o ai dati dell’utente, ma per rubare informazioni in modo furtivo e discreto.
Come funzionano gli stealer
Gli stealer operano intercettando i dati sui dispositivi degli utenti. I più semplici rubano informazioni dai browser web, come Google Chrome, Mozilla Firefox e altri basati su Chromium. Ad esempio, possono accedere a password salvate, dati di compilazione automatica, cronologia di navigazione e cookies. Alcuni stealer sono in grado di sottrarre anche file dal desktop e da altre cartelle, portafogli di criptovalute e estensioni di autenticazione a due fattori (2FA).
Un esempio di stealer moderno è LummaC2, che estrae dati dai browser, dal file system e dalle estensioni di criptovalute. Questo stealer è in grado di raccogliere informazioni da oltre 60 estensioni del browser, tra cui strumenti 2FA, rendendolo estremamente efficace nel furto di credenziali di accesso e portafogli di criptovalute.
Stealer: aspetti tecnici
Molti degli stealer moderni, come LummaC2, sono scritti in linguaggi di basso livello come il C o l’assembly (ASM). Questo consente di minimizzare le dipendenze e di bypassare facilmente i meccanismi di sicurezza del sistema operativo. Grazie a queste caratteristiche, gli stealer possono operare anche su “sistemi puliti”, ossia su dispositivi senza software o protezioni aggiuntive già installati.
Un elemento cruciale per il successo di questi malware è la loro capacità di agire in modo nascosto. LummaC2, ad esempio, utilizza tecnologie che cifrano le sue chiamate alle funzioni di sistema, rendendo difficile l’individuazione da parte dei software antivirus. Inoltre, le chiamate all’API del sistema, come GetProcAddress, sono cifrate per rendere più complessa la loro identificazione.
Inoltre, gli stealer spesso sfruttano tecniche avanzate per aggirare limitazioni architetturali, come la tecnologia Heavens Gate, che consente ai programmi di operare su sistemi a 64 bit, anche se progettati inizialmente per architetture a 32 bit. Il supporto per varie architetture, come ARM, x86 e x64, consente a questi malware di essere eseguiti su diverse piattaforme, comprese le macchine virtuali e i dispositivi più recenti.
Stealer: come proteggersi
Vediamo insieme 6 strategie per prevenire e mitigare gli attacchi stealer.
- Dotarsi di sistemi di monitoraggio e risposta H24: i sistemi MDR monitorano l’intera infrastruttura IT aziendale in maniera proattiva con un I-SOC attivo 24 ore su 24 che rileva attività sospette e risponde agli attacchi in tempo reale.
- Utilizzo di software antivirus: i software antivirus moderni sono in grado di individuare stealer noti. Tuttavia, è importante ricordare che i criminali informatici aggiornano costantemente i loro programmi, e i tempi di risposta degli antivirus possono essere ritardati.
- Aggiornamento regolare del software: gli aggressori spesso sfruttano vulnerabilità presenti nelle versioni obsolete dei software per infettare i dispositivi.
- Attenzione nel download dei file: gli stealer vengono spesso distribuiti attraverso programmi piratati, aggiornamenti falsi o allegati sospetti nelle email.
- Autenticazione a più fattori (MFA): l’uso dell’autenticazione a due fattori rende molto più difficile per gli aggressori accedere ai dati, anche se sono riusciti a rubare le credenziali di accesso.
- Cifratura dei dati: l’utilizzo di metodi di cifratura affidabili per i file sensibili e per i portafogli di criptovalute renderà più difficile il compito dei criminali in caso di furto di dati.
Conclusioni
Gli stealer continuano a essere una delle minacce più diffuse nel cyberspazio, e il loro sviluppo è in continua evoluzione. Gli stealer moderni sono rapidi ed efficienti, rappresentando un pericolo tanto per gli individui quanto per le organizzazioni.
È fondamentale ricordare che le minacce informatiche si evolvono rapidamente, e la protezione contro di esse richiede un approccio olistico, che includa l’uso di strumenti di sicurezza aggiornati, la manutenzione regolare dei sistemi e l’adozione di misure preventive adeguate.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO