Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è un Infostealer? Come funziona il malware per il furto di credenziali
Cybersecurity 101/Sicurezza informatica/Infostealer

Che cos'è un Infostealer? Come funziona il malware per il furto di credenziali

Gli infostealer estraggono silenziosamente password, cookie di sessione e dati del browser dai sistemi infetti. Le credenziali rubate alimentano ransomware, compromissione di account e frodi.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è un Infostealer?
Componenti principali di un Infostealer
Come funzionano gli Infostealer
Perché gli Infostealer sono difficili da fermare
Tipi di dati rubati dagli Infostealer
Principali famiglie di Infostealer
Infostealer Windows
Infostealer macOS
La pipeline Infostealer-Ransomware
Perché gli Infostealer eludono le difese tradizionali
Come rilevare un'infezione Infostealer
Errori comuni nella difesa contro gli Infostealer
Best practice per difendersi dagli Infostealer
Punti chiave

Articoli correlati

  • Che cos'è un Secure Web Gateway (SWG)? Difesa della rete spiegata
  • Che cos'è l'OS Command Injection? Sfruttamento, impatto e difesa
  • Statistiche Malware
  • Statistiche sulle violazioni dei dati
Autore: SentinelOne
Aggiornato: May 7, 2026

Che cos'è un Infostealer?

Un laptop di un collaboratore compromesso senza protezione endpoint ha esposto credenziali a una piattaforma dati cloud, e gli attaccanti non hanno mai dovuto decifrare una sola password. Questo è il problema degli infostealer in una sola frase.

Un infostealer è una categoria di malware progettata per estrarre in modo furtivo dati sensibili dai sistemi infetti, inclusi password salvate, cookie di sessione, file di wallet di criptovalute e dati di compilazione automatica del browser. Un infostealer opera silenziosamente: si esegue, raccoglie, esfiltra ed esce rapidamente. I dati rubati vengono compilati in archivi strutturati chiamati stealer log, poi venduti in marketplace underground dove altri criminali li acquistano per lanciare attacchi successivi.

Il rapporto ENISA descrive gli infostealer come "un anello solido e diffuso nella catena di approvvigionamento cybercriminale", facilitando principalmente il furto di credenziali, il dirottamento di sessione e il brokeraggio di accessi. Le credenziali rubate diventano accesso iniziale per operatori ransomware, campagne di business email compromise e frodi di account takeover. Per voi, ciò significa che un incidente infostealer richiede invalidazione delle sessioni, rotazione delle credenziali e protezione endpoint comportamentale, non solo la rimozione del malware.

Gli infostealer si collocano all'intersezione tra sicurezza delle identità e protezione endpoint. Prendono di mira le credenziali che gli utenti memorizzano nei browser, i token di sessione che dimostrano il completamento dell'MFA e le chiavi API che gli sviluppatori lasciano in file locali. Il DBIR di Verizon collega l'abuso di credenziali con l'accesso iniziale e segnala sovrapposizioni tra vittime di ransomware e dump di credenziali da infostealer.

Per il vostro SOC, il rilevamento di un infostealer cambia immediatamente il modello di minaccia. Non è un incidente endpoint contenuto. È un precursore di account takeover, movimento laterale e potenzialmente distribuzione di ransomware da parte di un attore completamente diverso. Comprendere cosa rende possibile tutto ciò parte da come sono costruiti gli infostealer.

Componenti principali di un Infostealer

Gli infostealer moderni condividono un'architettura coerente basata su cinque componenti funzionali:

  1. Meccanismo di delivery: Email di phishing, campagne di malvertising, software trojanizzato e attacchi ClickFix/falsi CAPTCHA che inducono gli utenti a eseguire comandi tramite Windows Run o PowerShell. Le campagne Lumma Stealer, ad esempio, utilizzano pagine CAPTCHA false che istruiscono le vittime a copiare ed eseguire comandi tramite la finestra di dialogo Windows Run.
  2. Moduli di raccolta credenziali: L'estrazione delle credenziali del browser prende di mira il database SQLite Login Data nei browser Chromium, decifrando le password tramite AES-GCM o Windows DPAPI. Gli infostealer raccolgono anche credenziali da password manager, client email, configurazioni VPN e wallet di criptovalute.
  3. Furto di token di sessione: La raccolta di cookie e token di sessione consente agli attaccanti di autenticarsi come voi senza bisogno della vostra password o del codice MFA. Il cookie rubato rappresenta la prova che l'MFA è già stato completato, bypassandolo completamente.
  4. Staging ed esfiltrazione dei dati: I dati rubati vengono impacchettati in log strutturati e trasmessi a server C2 controllati dagli attaccanti, bot Telegram o servizi di cloud storage come Dropbox. Il report SentinelLabs documenta l'infrastruttura Telegram utilizzata per velocizzare l'esfiltrazione e semplificare il processo di vendita.
  5. Anti-analisi ed evasione: Identificazione di VM/sandbox, esecuzione fileless dalla memoria, injection di processi e padding dei file progettati per mandare in crash gli strumenti di analisi. Queste tecniche corrispondono direttamente a MITRE ATT&CK T1027 (File o informazioni offuscate).

L'intera operazione si basa su un modello di business Malware-as-a-Service (MaaS). Gli sviluppatori mantengono web panel, builder di payload e canali di supporto clienti su Telegram. Gli abbonati poi eseguono campagne indipendenti.

Come funzionano gli Infostealer

Un attacco infostealer segue una kill chain prevedibile, ma ogni fase è progettata per ridurre al minimo la finestra di rilevamento.

  1. Fase 1: Esecuzione iniziale. Il payload arriva tramite phishing, malvertising o social engineering. La ricerca SentinelLabs ha documentato una campagna in cui gli utenti scaricavano archivi contenenti una copia firmata dell'applicazione freeware Haihaisoft PDF Reader insieme a una DLL malevola per il sideloading.
  2. Fase 2: Raccolta delle credenziali. Il malware prende di mira i database delle credenziali del browser (T1555.003), esegue query SQL sul file Login Data di Chrome e decifra le password memorizzate. Katz Stealer documenta una tecnica distintiva: il malware avvia i browser in modalità headless e inietta una DLL specializzata per accedere ai dati sensibili utilizzando il contesto di sicurezza del browser stesso.
  3. Fase 3: Furto di token di sessione. L'infostealer copia i cookie di sessione autenticati (T1539), consentendo agli attaccanti di impersonare gli utenti su applicazioni web dove tali sessioni restano valide. Alcune varianti rubano anche altri token che possono aiutare a rigenerare o estendere l'accesso, il che significa che un cambio password potrebbe non invalidare immediatamente l'accesso dell'attaccante.
  4. Fase 4: Raccolta supplementare. Keylogging (T1056), monitoraggio degli appunti per indirizzi e frasi seed di criptovalute (T1115), furto di file wallet di criptovalute e fingerprinting di sistema per il profiling della vittima. L'analisi SentinelLabs documenta Vidar che raccoglie dati di localizzazione specificamente per aiutare gli attori delle minacce a valutare il valore del sistema prima di distribuire payload secondari come ransomware.
  5. Fase 5: Esfiltrazione e uscita. I dati vengono trasmessi all'infrastruttura C2 tramite canali cifrati, spesso abusando di servizi legittimi. Il malware poi esce pulitamente, lasciando minimi artefatti forensi. Questo modello di esecuzione non persistente è una scelta progettuale deliberata: quando si scopre l'infezione, il malware è già sparito e le credenziali sono già in vendita.

Perché gli Infostealer sono difficili da fermare

Diverse caratteristiche rendono gli infostealer particolarmente difficili da difendere.

  • Il modello MaaS elimina la barriera delle competenze. Operatori non tecnici possono distribuire strumenti di furto credenziali tramite servizi in abbonamento. Anche dopo interventi delle forze dell'ordine, gli operatori spesso ricostruiscono rapidamente e il mercato si sposta su famiglie sostitutive.
  • Il furto di token di sessione rende l'MFA insufficiente. Gli infostealer rubano cookie di sessione come capacità primaria. MITRE ATT&CK documenta APT29, Scattered Spider, Star Blizzard e LAPSUS$ che utilizzano tutti T1539 per bypassare l'MFA. La rotazione delle password dopo un incidente non invalida i token attivi già in possesso dell'attaccante.
  • L'evasione polimorfica sconfigge gli strumenti basati su firme. Esecuzione fileless, staging in memoria e injection di processi bypassano completamente le difese statiche. I report di settore descrivono un aumento della delivery di infostealer tramite phishing, alimentato in parte dall'uso di AI da parte degli attaccanti per creare email di phishing su larga scala.
  • L'abuso di piattaforme legittime crea canali non bloccabili. Gli infostealer esfiltrano tramite API di Telegram, Dropbox e GitHub. Non è possibile bloccare questi servizi senza interrompere le operazioni aziendali, il che costringe il team a fare affidamento sull'analisi comportamentale piuttosto che sul filtraggio a livello di rete.

Queste caratteristiche non sono uniche di un singolo strumento. Sono condivise da un ecosistema in crescita di famiglie di infostealer, ciascuna in competizione per quote di mercato nei forum underground.

Tipi di dati rubati dagli Infostealer

Gli infostealer prendono di mira un insieme specifico di dati di alto valore, ciascuno scelto perché abilita una diversa categoria di attacco successivo.

  1. Password salvate e dati di compilazione automatica del browser. I browser basati su Chromium e Firefox memorizzano le credenziali in database SQLite locali. Gli infostealer interrogano direttamente questi database, decifrano le password memorizzate tramite API del sistema operativo ed estraggono voci di compilazione automatica inclusi indirizzi, numeri di telefono e dettagli di carte di pagamento. Queste credenziali diventano la materia prima per campagne di account takeover e attacchi di credential stuffing negli ambienti SaaS aziendali.
  2. Cookie di sessione e token di autenticazione. I cookie di sessione attivi dimostrano che un utente ha già completato l'autenticazione, incluso l'MFA. I cookie rubati consentono agli attaccanti di riprodurre quelle sessioni senza attivare ulteriori sfide di autenticazione. Questo è uno dei motivi principali per cui gli infostealer bypassano l'MFA così efficacemente: l'attaccante non deve mai completare il flusso di autenticazione.
  3. File di wallet di criptovalute e frasi seed. Gli infostealer copiano file wallet.dat, dati di estensioni browser da wallet come MetaMask e monitorano gli appunti per frasi seed e indirizzi wallet. Il furto di criptovalute è irreversibile, rendendo questi obiettivi particolarmente preziosi per gli attaccanti attivi nei mercati underground.
  4. Fingerprint di sistema e dati ambientali. Nome host, indirizzo IP, software installato, processi in esecuzione e identificatori hardware aiutano gli attaccanti a profilare le vittime e determinare quali credenziali rubate appartengano ad ambienti aziendali di alto valore. L'analisi SentinelLabs documenta Vidar che raccoglie dati di localizzazione specificamente per aiutare gli attori delle minacce a valutare il valore del target prima di distribuire payload secondari.
  5. Dati di client email e applicazioni di messaggistica. Email memorizzate localmente, log di chat e credenziali applicative da client come Outlook e Thunderbird ampliano l'accesso dell'attaccante oltre i dati memorizzati nel browser. Le credenziali email rubate alimentano direttamente le operazioni di business email compromise.
  6. Configurazioni VPN e RDP. Profili VPN salvati e credenziali di desktop remoto forniscono accesso a livello di rete che va ben oltre un singolo endpoint. Per gli operatori ransomware che acquistano stealer log, le credenziali VPN sono tra le voci più preziose perché offrono un percorso diretto nelle reti aziendali.

L'ampiezza dei dati presi di mira dagli infostealer spiega perché così tante famiglie di malware distinte competono in questo spazio, ciascuna ottimizzata per diverse combinazioni di questi tipi di dati.

Principali famiglie di Infostealer

L'ecosistema degli infostealer è affollato e cambia rapidamente man mano che le interruzioni delle forze dell'ordine spingono gli operatori verso nuovi strumenti. Queste famiglie rappresentano le minacce più documentate su Windows e macOS.

Infostealer Windows

FamigliaCaratteristiche principaliDettaglio rilevante
Lumma (LummaC2)Credenziali browser, wallet crypto, estensioni 2FA. Distribuito tramite ClickFix/falsi CAPTCHA e malvertising.Preso di mira da un'operazione coordinata tra forze dell'ordine e industria a maggio 2025; infrastruttura ricostruita in poche settimane.
RedLineDati browser, credenziali FTP/VPN, wallet di criptovalute, fingerprinting di sistema. Venduto come MaaS su forum underground.Operation Magnus ha interrotto l'infrastruttura RedLine a fine 2024; varianti successive continuano a circolare.
VidarFork di Arkei stealer. Prende di mira un'ampia gamma di browser, wallet crypto e app di messaggistica. Utilizzato come dropper per ransomware.Gli operatori ruotano frequentemente l'infrastruttura C2 tramite profili social e dead-drop resolver.
RhadamanthysCredenziali bancarie, wallet crypto, profiling di sistema. Distribuito tramite SEO poisoning e malspam.Utilizza tecniche di evasione avanzate tra cui process hollowing e loader multi-stage.
StealCStealer MaaS leggero che prende di mira credenziali browser, estensioni e file locali. Architettura modulare a plugin.Sta guadagnando quote di mercato come sostituto di Lumma/RedLine a seguito delle interruzioni 2024–2025.

Infostealer macOS

Il panorama degli infostealer su macOS si è ampliato rapidamente nel 2024. La ricerca SentinelLabs documenta famiglie tra cui Amos Atomic, Banshee Stealer, Cuckoo Stealer e Poseidon, tutte mirate a credenziali Keychain, dati browser e wallet di criptovalute. Queste famiglie utilizzano AppleScript per simulare finestre di dialogo di password e indurre gli utenti a fornire le credenziali di accesso, dando al malware accesso al Keychain e a tutte le password memorizzate sul sistema.

Indipendentemente dalla famiglia o dalla piattaforma, le credenziali rubate seguono lo stesso percorso: nei mercati underground e, frequentemente, nelle mani di operatori ransomware.

La pipeline Infostealer-Ransomware

Il collegamento tra infostealer e ransomware è ben documentato da molteplici fonti indipendenti. Gli infostealer fungono da primo stadio in una catena di attacco a due fasi. Il SANS Institute documenta che gli attori ransomware "tipicamente entrano tramite credenziali rubate da malware infostealer, con broker di accesso iniziale che fungono da intermediari tra operatori infostealer e gruppi ransomware."

Il divario operativo tra infezione infostealer e distribuzione ransomware può durare un periodo significativo, con movimento laterale non osservato nel frattempo. Trattare un rilevamento infostealer come un evento endpoint a bassa gravità è un errore costoso. Ogni rilevamento infostealer dovrebbe attivare protocolli precursori ransomware, inclusa valutazione completa delle credenziali, caccia al movimento laterale e playbook di contenimento predefiniti.

L'esecuzione efficace di questi protocolli richiede di comprendere perché gli infostealer sono così difficili da rilevare per gli strumenti di sicurezza tradizionali.

Perché gli Infostealer eludono le difese tradizionali

Gli infostealer presentano sfide strutturali specifiche che li rendono più difficili da fermare rispetto a molte altre categorie di malware.

  • L'esfiltrazione cifrata si confonde con il traffico normale. I dati rubati transitano tramite HTTPS verso servizi cloud legittimi. Alcune varianti suddividono gli archivi in blocchi per eludere gli strumenti DLP configurati per trasferimenti di file singoli di grandi dimensioni. Lo stack di sicurezza di rete vede quello che sembra normale traffico web cifrato.
  • Finestre di esecuzione brevi lasciano minime evidenze forensi. Gli infostealer non persistenti scrivono poco o nulla su disco in modo permanente. Gli artefatti in memoria vengono sovrascritti. Si rimane a indagare sulla telemetria di rete e sui log di utilizzo delle credenziali piuttosto che su artefatti endpoint, perché il malware si è auto-rimosso prima che il team se ne accorgesse.
  • L'hooking delle API di credenziali intercetta le credenziali all'interno di processi legittimi. MITRE ATT&CK T1056.001 documenta l'hooking delle API di credenziali che intercetta le credenziali all'interno di contesti di processo legittimi, rendendo difficile distinguere il comportamento malevolo dall'operatività normale dell'applicazione a livello di processo.
  • Il blind spot BYOD è strutturale. Il DBIR di Verizon osserva che molti sistemi compromessi con login aziendali nei log infostealer erano dispositivi non gestiti. La violazione Snowflake lo ha dimostrato direttamente: la ricerca SANS ha confermato che i laptop personali di collaboratori terzi non avevano antivirus o EDR ed erano utilizzati per attività personali, incluso l'uso di software pirata.

Questi vantaggi di evasione significano che il rilevamento di un'infezione infostealer spesso dipende dall'individuazione dei suoi effetti piuttosto che del malware stesso.

Come rilevare un'infezione Infostealer

Poiché gli infostealer sono progettati per eseguire ed uscire rapidamente, il rilevamento di un'infezione si basa sul riconoscimento degli effetti a valle del furto di credenziali piuttosto che sull'individuazione diretta del malware. Questi sono gli indicatori che il vostro team dovrebbe monitorare:

  • Credenziali aziendali che compaiono su marketplace del dark web. Gli stealer log emergono su mercati come Russian Market entro poche ore dal furto. Il monitoraggio continuo delle email aziendali e delle credenziali di dominio esposte fornisce il primo avviso che un infostealer ha compromesso uno dei vostri utenti.
  • Attività di sessione anomala su applicazioni SaaS e cloud. Accessi da geolocalizzazioni inattese, nuovi fingerprint di dispositivo o sessioni simultanee da regioni diverse indicano che token di sessione rubati vengono riutilizzati. Correlare la telemetria delle identità con i dati endpoint aiuta a distinguere viaggi legittimi dal replay di token.
  • Processi browser avviati con flag insoliti. Gli infostealer agganciano i processi browser utilizzando porte di debug remoto o modalità headless. Gli alert su browser avviati con --remote-debugging-port o --headless flags da processi padre non standard sono un indicatore affidabile.
  • Connessioni in uscita inattese verso API Telegram o cloud storage. L'esfiltrazione verso api.telegram.org, Dropbox o GitHub da endpoint che normalmente non usano questi servizi è un forte indicatore comportamentale, soprattutto se combinato con attività di creazione archivi o staging dati.
  • Pattern di accesso alle credenziali nella telemetria EDR. MITRE ATT&CK T1555.003 (Credenziali dai browser web) e T1539 (Furto di cookie di sessione web) generano telemetria identificabile quando processi esterni al browser accedono a database di credenziali o store di cookie.

L'identificazione precoce dipende dalla correlazione di questi segnali tra endpoint, identità e rete piuttosto che dal singolo indicatore.

Errori comuni nella difesa contro gli Infostealer

Anche le organizzazioni con programmi di sicurezza maturi commettono errori evitabili nella risposta agli incidenti infostealer.

  • Trattare i rilevamenti infostealer come incidenti endpoint isolati. Quando si scopre l'infezione, le credenziali rubate potrebbero già essere nelle mani di un broker di accesso separato con una tempistica diversa. Una remediation endpoint che salta l'invalidazione delle credenziali e la caccia al  movimento laterale lascia il percorso di attacco a valle completamente aperto.
  • Affidarsi solo alla rotazione delle password. Il cambio password non invalida i token di sessione attivi. Se un infostealer ha raccolto cookie autenticati, l'attaccante mantiene sessioni valide indipendentemente dalla nuova password. È necessaria l'invalidazione attiva delle sessioni su tutti gli account coinvolti.
  • Ignorare il monitoraggio delle credenziali sul dark web. Le credenziali rubate compaiono su mercati come Russian Market poco dopo il furto. Le organizzazioni che non monitorano le credenziali aziendali esposte perdono la finestra tra il furto e lo sfruttamento da parte di un attore a valle.
  • Trascurare il browser come superficie primaria di attacco. L'Advisory CISA documenta Raccoon Stealer e Vidar che rubano credenziali di accesso, cronologia browser e cookie direttamente dai browser. Il browser è contemporaneamente il principale archivio di credenziali e il principale repository di token di sessione per le applicazioni cloud, eppure la telemetria a livello browser è un segnale che la maggior parte delle aziende non raccoglie.
  • Saltare la copertura EDR per dispositivi di collaboratori e sviluppatori. Le workstation degli sviluppatori hanno accesso a segreti di produzione, credenziali di deployment e infrastruttura di firma del codice pur essendo meno monitorate dei server di produzione. Estendere la copertura endpoint a questi ambienti chiude uno dei gap più sfruttati.

Evitare questi errori è necessario ma non sufficiente. Una strategia di difesa strutturata deve coprire l'intera kill chain degli infostealer.

Best practice per difendersi dagli Infostealer

Una strategia di difesa a livelli affronta la kill chain degli infostealer in più fasi, dall'accesso iniziale all'esfiltrazione.

  1. Implementare autenticazione resistente al phishing. Le implementazioni FIDO2/passkey generano credenziali crittografiche uniche per servizio e le chiavi private non lasciano mai i dispositivi degli utenti. Come spiegato in autenticazione passwordless, la compromissione di un servizio non produce credenziali riutilizzabili altrove perché non esistono segreti di password condivisi da compromettere. Dare priorità agli account privilegiati con accesso ai sistemi di produzione.
  2. Disabilitare l'archiviazione delle credenziali nel browser. Utilizzare policy di gestione browser aziendali tramite Group Policy o MDM per impedire ai browser di salvare le password. Imporre l'uso di password manager aziendali con crittografia hardware. Configurare alert per browser avviati con flag di debug remoto (--remote-debugging-port), una tecnica nota degli infostealer per agganciare i processi browser.
  3. Implementare protezione endpoint comportamentale AI. La ricerca sul malware macOS afferma direttamente: "Le soluzioni di sicurezza che impiegano analisi dinamica ottengono risultati migliori" perché gli infostealer devono decodificare ed eseguire in chiaro indipendentemente dall'offuscamento della delivery. Le firme statiche falliscono contro payload cifrati e polimorfici.
  4. Costruire e testare playbook di rotazione credenziali prima degli incidenti. Predefinire la sequenza di rotazione senza interrompere i sistemi critici. La rotazione ad hoc sotto pressione incidentale è costantemente troppo lenta. Il playbook deve includere isolamento di rete, determinazione della timeline dell'infezione, rotazione completa di tutte le credenziali accessibili, invalidazione attiva delle sessioni e revisione dei log di accesso per tutto il periodo di permanenza.
  5. Limitare l'esecuzione di processi da percorsi ad alto rischio. Configurare policy di controllo applicazioni (WDAC, AppLocker o profili MDM macOS) per bloccare eseguibili non firmati da cartelle Downloads, Temp e User Profile. Estendere questi controlli alle workstation degli sviluppatori e ai runner CI.

Queste pratiche riducono la superficie di attacco, ma fermare infostealer che bypassano la prevenzione richiede una piattaforma che colleghi in tempo reale telemetria endpoint, identità e rete.

Liberate la cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Punti chiave

Gli infostealer sono malware per il furto di credenziali che operano silenziosamente, esfiltrano rapidamente password e token di sessione e alimentano un'economia criminale a valle che sostiene ransomware, account takeover e frodi finanziarie. L'MFA da solo non ferma il furto di token di sessione. Gli archivi di credenziali del browser sono il principale obiettivo. 

Ogni rilevamento infostealer richiede invalidazione delle credenziali, caccia al movimento laterale e protocolli precursori ransomware. La  protezione AI comportamentale, la  protezione delle identità e i playbook di risposta predefiniti costituiscono la base difensiva.

Domande frequenti

Un infostealer è un malware progettato per estrarre silenziosamente dati sensibili dai sistemi infetti, inclusi password salvate, cookie di sessione, dati di compilazione automatica del browser e file di wallet di criptovalute. 

Gli infostealer confezionano i dati rubati in log strutturati e li vendono su marketplace underground, dove altri criminali utilizzano le credenziali raccolte per lanciare attacchi successivi come ransomware, compromissione degli account e compromissione della posta elettronica aziendale.

Gli infostealer raggiungono gli endpoint tramite email di phishing con allegati dannosi, campagne di malvertising che reindirizzano a siti che ospitano i payload, download di software trojanizzati e attacchi ClickFix che inducono gli utenti a incollare comandi in Windows Run o PowerShell. Alcune campagne utilizzano il SEO poisoning per posizionare pagine di download false per software popolari. 

Il modello Malware-as-a-Service consente agli operatori con competenze tecniche minime di avviare campagne di distribuzione tramite piattaforme in abbonamento con builder di payload pronti all’uso.

Indicatori comuni includono la comparsa di credenziali aziendali su marketplace del dark web, accessi da geolocalizzazioni inattese o nuove impronte di dispositivi, processi del browser avviati con flag insolite come --remote-debugging-port, connessioni in uscita inaspettate verso API di Telegram o servizi di cloud storage, e pattern di accesso alle credenziali nella telemetria EDR che prendono di mira database del browser o archivi di cookie. 

Poiché gli infostealer si eseguono ed escono rapidamente, individuare un'infezione dipende tipicamente dal riconoscimento di questi effetti a valle piuttosto che dall'intercettazione del malware durante l'esecuzione.

Gli infostealer non violano l'MFA. Rubano i cookie di sessione che sono stati emessi dopo che l'MFA è stato completato con successo. Quando un attaccante riproduce quel cookie, l'applicazione di destinazione vede una sessione già autenticata e concede l'accesso senza richiedere nuovamente l'MFA. 

L'autenticazione FIDO2/passkey resiste al replay delle password perché genera credenziali crittografiche uniche per ogni sito invece di segreti condivisi riutilizzabili.

Gli infostealer raccolgono credenziali che i broker di accesso vendono agli operatori di ransomware. Il SANS Institute documenta che i gruppi ransomware ottengono tipicamente l'accesso iniziale tramite credenziali provenienti da infostealer. 

L'infezione da infostealer e la distribuzione del ransomware sono spesso separate nel tempo, eseguite da attori delle minacce completamente diversi.

Dopo le operazioni delle forze dell'ordine contro Lumma e RedLine, l'ecosistema si è evoluto rapidamente. Vidar, StealC, Acreed e Rhadamanthys sono citate nei report attuali come famiglie attive o in crescita. 

Il modello MaaS garantisce che la disattivazione di una famiglia acceleri lo sviluppo e l'adozione delle successive.

Sì. Le ricerche di SentinelLabs documentano infostealer per macOS tra cui Amos Atomic, Banshee Stealer, Cuckoo Stealer e Poseidon. Queste famiglie prendono di mira credenziali del Portachiavi, dati del browser e wallet di criptovalute. 

I dispositivi macOS aziendali richiedono la stessa protezione comportamentale degli endpoint dei sistemi Windows.

Isolare l'endpoint interessato, determinare la timeline dell'infezione, ruotare tutte le credenziali accessibili da quel dispositivo, invalidare tutte le sessioni attive e rivedere i log di accesso per l'intero periodo di permanenza. Non trattare l'evento come un semplice incidente isolato. 

Cercare movimenti laterali utilizzando le credenziali rubate.

Scopri di più su Sicurezza informatica

Statistiche sugli attacchi DDoSSicurezza informatica

Statistiche sugli attacchi DDoS

Gli attacchi DDoS stanno diventando più frequenti, più brevi e più difficili da ignorare. Il nostro post sulle statistiche degli attacchi DDoS ti guida su chi è preso di mira in questo momento, come si stanno sviluppando le campagne e altro ancora.

Per saperne di più
Statistiche sulle minacce interneSicurezza informatica

Statistiche sulle minacce interne

Ottieni informazioni su tendenze, aggiornamenti e altro sulle ultime statistiche sulle minacce interne per il 2026. Scopri quali pericoli stanno affrontando attualmente le organizzazioni, chi è stato colpito e come rimanere protetti.

Per saperne di più
Statistiche sulla cyber assicurazioneSicurezza informatica

Statistiche sulla cyber assicurazione

Le statistiche sulla cyber assicurazione per il 2026 evidenziano un mercato in rapida crescita. Si osservano cambiamenti nei modelli di sinistro, una sottoscrizione più rigorosa e un ampliamento dei gap di protezione tra grandi imprese e aziende più piccole.

Per saperne di più
Che cos'è la sicurezza delle applicazioni? Guida completaSicurezza informatica

Che cos'è la sicurezza delle applicazioni? Guida completa

La sicurezza delle applicazioni protegge il software durante tutto il SDLC utilizzando strumenti come SAST, DAST, SCA e difese in fase di esecuzione. Scopri come costruire un programma AppSec.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano