Skip to main content
Articoli Cert

Stealer-as-a-Service: il SaaS dei malware per rubare credenziali

16 Luglio 20254 min read

Negli ultimi anni si è registrata una trasformazione strutturale e poco visibile nell’ecosistema delle minacce cyber: gli info-stealer, malware progettati per l’esfiltrazione di credenziali, cookie di sessione, wallet crypto e altri artefatti particolari, hanno superato la fase di tool artigianali impiegati da singoli threat actor. Oggi rappresentano soluzioni Malware-as-a-Service, dotate di licensing mensile, supporto dedicato, interfacce di gestione web-based e pipeline di distribuzione ben organizzate.

 

Nuovo modello di business

I gruppi criminali che sviluppano questi stealer hanno adottato una logica tipicamente “as-a-Service”, replicando dinamiche del mondo SaaS:

  • Accesso a pannelli di controllo web-based, con funzionalità avanzate di filtraggio e ricerca;
  • Possibilità di generare build personalizzate del malware (EXE, DLL, etc.);
  • Bot Telegram per la ricezione in tempo reale dei dati esfiltrati;
  • Canali di assistenza tecnica e aggiornamenti costanti.

L’utilizzatore finale – spesso con poche competenze tecniche – può facilmente gestire campagne malevole su larga scala, puntando a rubare dati da migliaia di macchine infette.

Prezzi e funzionalità

Stealer Prezzo mensile Caratteristiche principali
LummaC2 $250 Focus crypto, pannello web, API Telegram
Stealc $300 Hosting su TOR, invio log via bot
Vidar $200 Pannello con ricerca avanzata per dominio/servizio
RisePro $120 Supporto a moduli aggiuntivi, wallet, loader
MetaStealer $350 Obiettivo: sessioni M365, cookie browser

Dati aggiornati al 2025. Il costo dell’abbonamento include spesso aggiornamenti, bypass antivirus e assistenza per eventuali problemi di funzionamento.

 

Cosa viene rubato

Le informazioni esfiltrate sono altamente sensibili e possono includere:

  • Credenziali di posta aziendale, VPN, CRM, strumenti collaborativi (Teams, Slack);
  • Cookie di sessione da browser basati su Chromium (Chrome, Edge, Brave);
  • Sessioni attive di Telegram, spesso ancora valide;
  • Portafogli crypto (MetaMask, Exodus, Atomic Wallet);
  • Autofill con dati bancari e personali.

Questi log vengono poi organizzati per paese, dominio, o servizio, e rivenduti su canali Telegram o marketplace sotterranei.

 

Canali di compravendita

Il mercato secondario è in forte espansione:

  • Canali Telegram dedicati con bot automatici per l’acquisto di log filtrati per paese/settore;
  • Forum come Exploit o XSS con venditori “verified” che offrono dump giornalieri;
  • Operatori che offrono accessi “freschi” a infrastrutture aziendali tramite cookie/sessioni.

Non si tratta più di singoli dump su Pastebin: è una filiera.

 

Motivi della mancata rilevazione

Gli Stealer-as-a-Service eludono facilmente i controlli di sicurezza grazie a tecniche sofisticate e traffico apparentemente legittimo:

  • Il file eseguibile viene scaricato dal browser, spesso con nomi legittimi;
  • I cookie rubati non sono cifrati in molti casi e consentono l’accesso diretto ai portali aziendali;
  • Il traffico verso Telegram o CDN è considerato legittimo da molti firewall e proxy;
  • Il malware usa packers, crypters e tecniche anti-analisi, rendendo difficile la detection anche per EDR moderni.

 

Cosa deve fare un’azienda

Per contrastare queste minacce, le aziende devono adottare misure proattive e mirate di difesa:

  1. Implementare sistemi di monitoraggio e risposta attivi H24 (MDR)
  2. Implementare controlli di sessione e alert su login anomali, anche senza password;
  3. Disattivare o limitare l’uso di Telegram Desktop su endpoint aziendali;
  4. Adottare autenticazione MFA forte (FIDO2) per proteggere anche in caso di furto cookie;
  5. Monitorare canali Telegram e dark web per attività correlate al proprio dominio.

Considerazioni finali

La crescente industrializzazione del cybercrime è un’evidenza concreta. Gli stealer non rappresentano più semplici payloads malevoli, ma veri e propri artefatti SaaS, distribuiti tramite marketplace illeciti con supporto, aggiornamenti e modelli di abbonamento. Trascurare questa evoluzione equivale a sottovalutare minacce fileless e low-noise, in grado di eludere i motori di detection tradizionali compromettendo persistenze e sessioni valide all’interno del perimetro aziendale.

La realtà? Potresti già figurare nei log di esfiltrazione di uno stealer, pur in assenza di IOC rilevati dai tuoi attuali sistemi di difesa.

Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO