Aggiornamenti recenti Dicembre 12th, 2025 2:01 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Apple interviene su due zero-day sfruttati attivamente in attacchi mirati
- Misterioso guasto satellitare: centinaia di Porsche “bloccate” in Russia
- Patch Tuesday, Microsoft risolve una vulnerabilità già sfruttata e due zero-day
- Prompt injection, un problema che potrebbe non venire mai risolto. La visione dell’NCSC
- React2Shell: più di 160.000 indirizzi IP vulnerabili, oltre 30 organizzazioni già colpite
Stealc: un nuovo infostealer multifunzione
Un nuovo report dei ricercatori di sicurezza di Sekoia ha segnalato la crescente popolarità di un nuovo infostealer, chiamato Stealc, che è stato molto pubblicizzato sul dark web nelle ultime settimane.
I ricercatori di Sekoia hanno individuato il nuovo ceppo a gennaio e hanno iniziato a individuarlo all’opera in the wild all’inizio di febbraio.
Stealc è un malware promosso su forum e canali dedicati da un utente chiamato Plymouth. Plymouth ha presentato Stealc come un malware con ampie capacità di furto di dati e un pannello di amministrazione facile da usare.
Oltre al targeting dei dati del browser, delle estensioni e dei portafogli di criptovaluta, Stealc ha un grabber di file personalizzabile per rubare qualsiasi tipo di file desiderato. Plymouth ha promosso il malware su vari forum e canali privati di Telegram, offrendo campioni di prova ai potenziali clienti.
Fonte: Sekoia
Stealc viene sviluppato attivamente e Plymouth ha creato un canale Telegram dedicato ai changelog della nuova versione. Plymouth ha anche affermato che Stealc si basa sui progetti Vidar, Raccoon, Mars e Redline.
I ricercatori hanno scoperto più di 40 server C2 per Stealc e diverse decine di campioni utilizzati attivamente, indicando che il nuovo malware ha attirato l’interesse dei criminali informatici.
Questa popolarità può essere spiegata con il fatto che i clienti con accesso al pannello di amministrazione possono generare nuovi sample, aumentando le possibilità che il malware raggiunga un pubblico più ampio.
Anche se questo non è un buon modello di business, i ricercatori ritengono che Stealc rappresenti una minaccia non trascurabile, poiché potrebbe essere adottato da criminali meno tecnici.
Una dotazione ricca
Stealc ha aggiunto nuove funzioni dalla sua prima versione di gennaio, tra cui una funzione per randomizzare gli URL C2, un migliore sistema di ricerca e ordinamento dei registri (file rubati) e un’esclusione per le vittime in Ucraina.
La timeline di Stealc (Fonte: Sekoia)
Sekoia ha analizzato un campione di Stealc e ha scoperto che il malware ha una build leggera di soli 80 Kbyte, utilizza Dll legittime di terze parti, è scritto in C e abusa delle funzioni Api di Windows. La maggior parte delle sue stringhe sono offuscate con RC4 e base64, e il malware esfiltra automaticamente i dati rubati.
Stealc supporta 22 browser Web, 75 plug-in e 25 wallet; una volta distribuito, esegue controlli anti-analisi per garantire che non venga eseguito in un ambiente virtuale o sandbox. Il malware raccoglie i dati dai browser, dalle estensioni e dalle app, esegue un grabber di file personalizzato e infine esfiltra tutto verso il server C2.
Alla fine delle operazioni, il malware rimuove sé stesso e i file Dll scaricati dall’host compromesso per cancellare le tracce dell’infezione.
I ricercatori hanno identificato un metodo di distribuzione di Stealc tramite video di YouTube che spiegano come installare software pirata, collegandosi a un sito di download. Il malware è integrato nell’installer del software e, una volta eseguito, inizia a svolgere le sue funzioni e comunicare con il server C2.
Sekoia ha condiviso indicatori di compromissione e regole Yara e Suricata per aiutare le aziende a difendersi. Si consiglia agli utenti di evitare l’installazione di software piratato e di scaricare solo dai siti ufficiali degli sviluppatori per ridurre il rischio di infezioni da malware.
Condividi l'articolo
La maggior parte dei ransomware sfrutta vulnerabilità note da anni
Un terzo dei malware integra oltre 20 tattiche di attacco
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),... -
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Apple interviene su due zero-day sfruttati attivamente in... Apple ha rilasciato degli aggiornamenti di sicurezza... -
Misterioso guasto satellitare: centinaia di Porsche... Panico in Russia: centinaia di Porsche sono rimaste... -
Patch Tuesday, Microsoft risolve una vulnerabilità già... Nel bollettino del Patch Tuesday di dicembre Microsoft ha... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),...
-
React2Shell: più di 160.000 indirizzi IP vulnerabili,... React2Shell, una vulnerabilità di React che consente...
Ransomware: la serie
No posts found.