Nel 2023, i dati più pericolosi su dark web non sono le carte di credito — sono gli stealer logs. Gli stealer logs sono pacchetti di dati strutturati raccolti dal malware infostealer (Redline, Raccoon, Vidar, META, Lumma) da dispositivi infetti. Ogni log contiene password salvate da tutti i browser, cookie di sessione, dati di completamento automatico, numeri di carte di credito, frasi seme di portafoglio crittografico e uno screenshot del dispositivo. Il log da un laptop aziendale infetto di un dipendente può dare a un attaccante le chiavi della tua intera organizzazione.

A differenza delle violazioni di dati tradizionali che perdono milioni di record contemporaneamente, gli stealer logs rappresentano la minaccia più tattica e immediata per la sicurezza aziendale. Un singolo dispositivo compromesso è la superficie di attacco.

Cosa c'è esattamente in uno Stealer Log

Gli stealer logs sono esportazioni di dati strutturate e leggibili da macchina progettate per gli attaccanti. Ecco cosa contiene un log tipico:

Password salvate del browser — Tutte le password archiviate in Chrome, Firefox, Edge, Safari e altri browser. Questi includono le credenziali di accesso per i sistemi aziendali, la posta elettronica, i servizi cloud e gli strumenti interni.

Cookie di sessione — Il componente più critico. I cookie di sessione consentono agli attaccanti di accedere direttamente alle applicazioni web senza richiedere password. Un cookie rubato da una sessione Slack autenticata di un utente concede accesso completo a Slack aziendale, bypassando completamente l'MFA.

Carte di credito salvate — Numero PAN (Primary Account Number) completo, CVV, date di scadenza e nomi dei titolari di carta. Non crittografati, salvati in testo semplice nello storage del browser.

Dati di completamento automatico del modulo — Nome, indirizzo, numero di telefono, data di nascita e risposte del modulo salvate. Questi dati sono preziosi per il furto di identità e la manipolazione del recupero dell'account.

Credenziali dell'account di posta elettronica — Credenziali Gmail, Outlook, Yahoo e posta elettronica aziendale salvate. L'accesso alla posta elettronica è la chiave principale — consente reset di password su tutti i servizi collegati.

Credenziali VPN e RDP — Se salvate in autocompletamento del browser o gestori di password, le credenziali VPN e Remote Desktop Protocol consentono l'accesso diretto alla rete senza passare attraverso l'autenticazione normale.

Chiavi SSH e certificati — Se salvati nel browser o copiati negli appunti, questi consentono l'accesso al server. Le credenziali Git salvate nei browser sono particolarmente pericolose.

Portafogli di criptovaluta — Frasi seme e chiavi private se archiviate nelle estensioni del browser o nel completamento automatico. Questi consentono direttamente l'accesso ai beni crittografici.

Screenshot — Un record visivo del dispositivo al momento dell'infezione, mostrando il desktop dell'utente, qualsiasi applicazione aperta e la cronologia di navigazione. Gli screenshot rivelano cosa stava facendo l'utente e i dati sensibili visibili.

Informazioni di sistema — Versione del sistema operativo, software installato, stato antivirus e specifiche hardware. Queste informazioni aiutano gli attaccanti a identificare il migliore percorso di sfruttamento.

L'ecosistema del malware Infostealer

Gli infostealers sono tra le famiglie di malware più prevalenti in natura. L'ecosistema è self-service, a basso costo e altamente efficiente:

Come si propagano gli infostealers — Gli utenti si infettano tramite:

• Pubblicità dannosa (annunci dannosi su siti Web legittimi)
• Download di software contraffatti (software "crackato", trucchi di gioco, utilità)
• Email di phishing con allegati o link dannosi
• Estensioni di browser dannose
• Repository GitHub e pacchetti npm troiani
• Download al volo da siti Web compromessi

Redline Stealer as-a-service — Per $100–150 al mese, chiunque può affittare accesso all'infrastruttura Redline Stealer. Nessuna competenza tecnica richiesta. L'attaccante specifica quali gestori di password e browser target, e Redline fa il resto.

Infrastruttura del mercato — I stealer logs freschi sono annunciati su canali Telegram, mercati darknet e forum di hacking privati quotidianamente. I log sono valutati per valore del conto:

• Log di consumatore generico: $10–50
• Log di posta elettronica aziendale (@company.com): $200–2.000
• Log escalati/admin: $5.000–50.000+

CloudySky e Russian Market servono come hub di distribuzione principali per stealer logs. I canali Telegram come "@stealerlogs" e le comunità private operano apertamente, con fornitori che pubblicano nuovi dump più volte al giorno.

Perché gli Stealer Logs sono catastrofici per le aziende

Un singolo dispositivo compromesso crea un disastro di sicurezza a livello organizzativo:

Un dipendente scarica un'utilità falsa → tutta l'infrastruttura aziendale è compromessa — Il dipendente scarica inconsapevolmente quello che sembra un strumento di produttività o un trucco di gioco. L'infostealer viene eseguito silenziosamente, raccogliendo tutte le password salvate. L'attaccante ora ha credenziali per:

• Microsoft 365 / Azure AD
• Jira, Confluence, GitHub
• Salesforce, HubSpot
• Slack, Microsoft Teams
• AWS, GCP o Azure
• VPN, RDP e strumenti interni

Il furto di cookie di sessione bypassa completamente l'MFA — Un browser di una vittima contiene cookie di sessione attivi per Salesforce, Slack e la sua posta elettronica aziendale. Questi cookie sono validi per ore o giorni. Un attaccante può riprodurre direttamente questi cookie, ottenendo accesso istantaneo senza alcuna sfida MFA.

La violazione Uber del 2022 è iniziata con stealer logs — Lapsus$ ha acquistato dati di stealer log contenenti le credenziali di un contraente Uber. Utilizzando tali credenziali, Lapsus$ ha accesso ai sistemi interni di Uber, ha escalato i privilegi e ha distribuito ransomware. L'intera catena di attacco è stata abilitata da un singolo stealer log rubato.

Compromesso della posta elettronica aziendale e movimento laterale — Con accesso alla posta elettronica, gli attaccanti possono:

• Reimpostare le password per altri account (la posta elettronica è l'account principale)
• Accedere a email e allegati sensibili
• Impersonare l'utente in attacchi di phishing contro colleghi
• Approvare richieste di accesso, autorizzazioni di pagamento o modifiche di sistema sensibili
• Muoversi lateralmente nell'organizzazione utilizzando l'affidabilità e i permessi dell'utente rubato

Escalation dei privilegi — Gli stealer logs spesso contengono credenziali per:

• Account amministratore e account di servizio
• Accesso alla console cloud (AWS, Azure, GCP)
• Credenziali del database
• VPN con accesso elevato

Come gli attaccanti armano gli Stealer Logs

Una volta ottenuti, gli stealer logs vengono armati attraverso diversi vettori di attacco:

Attacchi di replay dei cookie — L'attaccante estrae i cookie di sessione e li importa nel suo browser o utilizza strumenti come "Cookie Editor" per riprodurre sessioni autenticate. Accesso istantaneo alle applicazioni web, nessuna password richiesta, nessuna sfida MFA.

Test e validazione delle credenziali — Le password degli stealer logs vengono testate contro più servizi (portali interni, piattaforme cloud, piattaforme concorrenti). Le credenziali valide vengono separate e vendute ad altri attaccanti o utilizzate per ulteriori compromessi.

Compromesso della posta elettronica aziendale (BEC) — Con accesso alle caselle postali, gli attaccanti conducono frodi CEO, frodi di fattura, frodi di trasferimento o exfiltrazione di dati via email.

Escalation dei privilegi utilizzando credenziali admin trovate — Le password admin o le credenziali dell'account di servizio vengono immediatamente utilizzate per accedere ai sistemi sensibili, modificare i permessi degli utenti, installare backdoor o exfiltrare dati.

Distribuzione di ransomware — Le credenziali RDP, VPN o cloud degli stealer logs forniscono accesso diretto alle reti interne. Gli attaccanti distribuiscono ransomware, malware di cancellazione o conducono attacchi da tastiera con accesso infrastrutturale completo.

Concatenamento delle credenziali e pivoting — Uno stealer log concede accesso alla posta elettronica di un utente. L'accesso alla posta elettronica reimposta la password del suo account VPN. L'accesso VPN concede l'accesso alla rete. L'accesso alla rete fornisce l'accesso al file server. Un log diventa un compromesso della catena completa.

Rilevamento dell'esposizione della tua azienda nei mercati di Stealer Logs

Gli stealer logs contenenti i dati della tua organizzazione vengono scambiati attivamente ogni giorno su dark web.

DarkVault monitora continuamente i mercati di stealer logs attraverso:

• Monitoraggio dei feed del mercato di stealer logs — Canali Telegram, server Discord e feed del mercato darknet che pubblicano nuovi stealer logs ogni ora.

• Parsing dei metadati del log — Gli stealer logs sono dati strutturati. Ogni log contiene indirizzi email, nomi di dominio, versioni software e informazioni di sistema. DarkVault analizza questi campi e li abbina al tuo dominio di posta aziendale, ai provider cloud e ai sistemi interni noti.

• Corrispondenza di dominio in tempo reale — Quando uno stealer log contiene indirizzi email @yourdomain.com, ricevi avvisi immediati.

• Fingerprinting del dispositivo all'interno dei log — I log possono essere incrociati per caratteristiche di sistema (nome host, software installato, indirizzo MAC) per identificare quali dipendenti specifici sono compromessi e se più log provengono dallo stesso dispositivo.

• Tracciamento della lignaggio del log — Una volta rilevato, DarkVault traccia se è stato rivenduto, ricondiviso o utilizzato in attacchi successivi in comunità di dark web.

Playbook di risposta quando trovi i tuoi dati negli Stealer Logs

Quando i dati della tua azienda appaiono negli stealer logs, la velocità è critica. La finestra tra il rilevamento e l'armamento dell'attaccante è tipicamente di 24–72 ore.

Immediato (0–4 ore):

1. Revoca tutte le sessioni per gli utenti interessati — Forza il logout da tutte le sessioni attive. Questo invalida i cookie di sessione tenuti dall'attaccante.

2. Forza la riauthentication — Richiedi che l'utente interessato acceda di nuovo con MFA. Qualsiasi cookie di sessione rubato è ora inutile.

3. Ruota TUTTE le credenziali trovate nel log — Non solo la password di posta elettronica, ma anche VPN, RDP, accesso alla console cloud, password dell'account di servizio e qualsiasi altra credenziale visibile nel log. Assumi che tutte le credenziali da quel dispositivo siano compromesse.

4. Verifica SIEM per indicatori di compromesso — Cerca:

   • Tentativi di accesso falliti da indirizzi IP insoliti
   • Accessi riusciti da posizioni geograficamente impossibili
   • Accesso a sistemi sensibili o database
   • Trasferimenti di dati di grandi dimensioni o modelli insoliti di accesso ai file
   • Modifiche di permessi o creazione di nuovo utente

5. Assumi che tutte le credenziali salvate da quel dispositivo siano compromesse — Lo stealer log non è l'unico artefatto di attacco. Il dispositivo stesso potrebbe essere ancora infetto. Assumi che l'attaccante ha avuto accesso per giorni o settimane prima che il log fosse catturato.

Follow-up (4–24 ore):

1. Ispeziona il dispositivo infetto — Scansiona con più motori antivirus, controlla le estensioni del browser, verifica che non rimangano meccanismi di persistenza, considera una re-imaging completa.

2. Verifica la casella postale per accesso insolito — Verifica la presenza di regole di inoltro della posta, autorizzazioni di app, modifiche di permessi o attività di accesso insolita.

3. Verifica i log di audit della console cloud — AWS CloudTrail, log di audit di Azure o log di audit del cloud GCP per le chiamate API da IP o contesti insoliti.

4. Notifica a tutti gli utenti collegati — Se l'account compromesso ha concesso accesso a risorse condivise (spazi di lavoro Slack, repo GitHub, progetti cloud), notifica a questi team.

Scopri se i dati di stealer log dei tuoi dipendenti sono già in vendita — I mercati di stealer logs del dark web sono attivi 24/7. Scopri entro poche ore se il tuo dominio aziendale appare nei log freschi.

Domande frequenti

Come differiscono gli stealer logs dalle violazioni di dati regolari?

Le violazioni di dati regolari espongono milioni di record dal database di un'azienda in un singolo evento (ad es. "10 milioni di record utente persi"). Gli stealer logs espongono i dati di dispositivi individuali e vengono venduti continuamente in piccoli lotti. Gli stealer logs includono cookie di sessione attivi e credenziali del browser, rendendoli immediatamente utilizzabili. Un singolo stealer log può essere più prezioso di un'intera violazione di database perché concede accesso autenticato istantaneo.

L'antivirus può rilevare il malware infostealer?

La maggior parte dei principali fornitori di antivirus rileva gli infostealers comuni come Redline e Raccoon. Tuttavia, il rilevamento non è garantito e molti utenti non eseguono antivirus. Inoltre, alcune famiglie di malware sono polimorfiche (che cambiano costantemente la loro firma) o vengono vendute come nuove varianti prima della pubblicazione delle firme antivirus. Supporre che solo l'antivirus prevenga l'infezione è un errore critico.

Con quale frequenza vengono pubblicati nuovi stealer logs?

I nuovi stealer logs vengono pubblicati sui mercati darknet e sui canali Telegram più volte all'ora, 24/7. Migliaia di log freschi appaiono quotidianamente. Se la tua azienda è un target di taglia media, è statisticamente probabile che le credenziali dei tuoi dipendenti siano già negli stealer logs e in vendita in questo momento.