Attenzione agli Infostealer

Gli infostealer sono una categoria di malware progettati per rubare informazioni sensibili dai dispositivi infetti. Questi programmi maligni si infiltrano nei computer degli utenti, spesso tramite download di software piratato o tramite e-mail di phishing, e raccolgono una vasta gamma di dati, tra cui nomi utente, password, cookie, cronologia di navigazione e informazioni finanziarie.

A differenza di altri tipi di malware che potrebbero avere obiettivi specifici, gli infostealer agiscono in modo opportunistico, raccogliendo qualsiasi dato disponibile dai browser web degli utenti infetti.

Successivamente, le informazioni rubate vengono organizzate e vendute su mercati del dark web o utilizzate direttamente per attacchi informatici, come compromissioni aziendali o attacchi ransomware. L’uso crescente degli infostealer è stato alimentato dall’aumento del lavoro remoto e dalla maggiore integrazione tra dispositivi personali e aziendali, rendendo più facile per questi malware ottenere accesso a dati aziendali sensibili.

Una crescente ondata di attacchi

Negli ultimi mesi i cybercriminali hanno pubblicizzato in vendita centinaia di milioni di record di clienti provenienti da grandi aziende come Ticketmaster, Santander Bank e AT&T. Sebbene le grandi violazioni dei dati siano ormai un fatto quotidiano da oltre un decennio, questi recenti episodi sono significativi perché sono tutti collegati. Ogni azienda vittima era un cliente della società di archiviazione dati cloud Snowflake ed è stata compromessa non attraverso un sofisticato attacco hacker, bensì perché gli aggressori avevano le credenziali di accesso per gli account Snowflake di ciascuna azienda, una serie di furti di dati che ha coinvolto almeno 165 clienti di Snowflake.

Gli aggressori non hanno ottenuto questa massa di credenziali brecciando direttamente Snowflake o tramite un attacco mirato alla supply chain, hanno invece trovato le credenziali in una raccolta disordinata di dati rubati prelevati casualmente da malware infostealer.

Dopo anni di operazioni, gli infostealer stanno vivendo un momento di crescita. Il malware, che spesso si insinua nei computer attraverso il download di software piratato, può rubare nomi utente e password, cookie, cronologia di navigazione, informazioni finanziarie e altro ancora dai browser web. Questi dati raccolti dagli infostealer vengono sempre più utilizzati da tutti i tipi di hacker per compromettere le aziende e gli esperti di sicurezza informatica avvertono di ulteriori violazioni di dati di alto profilo in arrivo.

Ciò che distingue gli infostealer da spyware o altri malware utilizzati in operazioni di spionaggio o violazioni di dati mirate è che gli infostealer si diffondono opportunisticamente e indiscriminatamente. Rubano dati dai browser dei computer che infettano. Poi gli aggressori che li gestiscono raccolgono e organizzano questa caotica e in gran parte casuale raccolta di dati e la rimettono in circolazione su un mercato o in un forum pubblico come un canale Telegram. È solo allora che gli operatori di infostealer o i loro clienti esaminano la loro raccolta per trovare credenziali preziose e token di accesso tra la grande quantità di rifiuti.

I dati rubati

Ci sono alcuni token di accesso agli account che avrebbero un valore evidente per molti tipi di cybercriminali. Se un dump di dati includesse credenziali di accesso funzionanti per gli account aziendali di un dipendente, una banda di ransomware, un truffatore di compromissione della posta elettronica aziendale o un attore statale potrebbero utilizzare l’accesso come punto di partenza per lanciare i loro attacchi. Ma oltre a vendere questi dettagli preziosi, gli operatori di infostealer massimizzano il valore dei dati che raccolgono semplicemente rendendo disponibili i loro dati rubati. Piattaforme come Genesis Market, che è stata smantellata dalle forze dell’ordine l’anno scorso, e Russian Market, organizzano i log degli infostealer e li rendono persino in qualche modo ricercabili, così gli hacker che cercano di colpire organizzazioni più di nicchia o quelli che non hanno motivazioni finanziarie possono potenzialmente trovare esattamente ciò di cui hanno bisogno.

Queste piattaforme prendono spunti su come sono progettate e commercializzate da servizi legittimi di informazione ed e-commerce. Molti mercati e forum addebitano una quota di abbonamento per accedere alla piattaforma e poi hanno diverse strutture tariffarie per i dati a seconda di quanto possano essere preziosi. Attualmente Russian Market ha così tanti dati rubati disponibili dagli infostealer che ha iniziato a addebitare una tariffa flat bassa, tipicamente non più di $10, per qualsiasi sottoinsieme di dati che gli utenti vogliono scaricare.

Attenzione se lavori da casa

Gli infostealer sono stati particolarmente efficaci con l’aumento del lavoro remoto e ibrido, poiché le aziende permettono ai dipendenti di accedere ai servizi di lavoro da dispositivi personali e agli account personali da dispositivi aziendali. Questo crea opportunità per gli infostealer di compromettere casualmente individui sui loro computer domestici, ma di accedere comunque a credenziali aziendali poiché la persona attaccata era loggata nei sistemi di lavoro. Rende anche più facile per il malware infostealer superare le protezioni aziendali, anche su dispositivi aziendali, se i dipendenti hanno aperti i loro account di posta elettronica personali o social media.

Su vari mercati del crimine informatico e su Telegram sono stati condivisi più di 7.000 credenziali compromesse legate ad account Snowflake. In un caso, un criminale ha pubblicizzato l’accesso a 41 aziende del settore dell’istruzione; un altro cybercriminale afferma di vendere accesso a società statunitensi con ricavi tra 50 milioni e 8 miliardi di dollari.

L’uso degli infostealer ha funzionato così bene che è praticamente inevitabile che i cybercriminali cercheranno di replicare il successo di compromissioni come quella di Snowflake e di essere creativi su altri servizi software aziendali che possono utilizzare come punti di accesso per ottenere l’accesso a una gamma di diverse aziende clienti.