Stealerium e Phantom: come gli infostealer open-source mettono sotto scacco il mondo

I ricercatori di Proofpoint, leader nella cybersecurity e nella protezione delle informazioni, hanno rilevato un preoccupante aumento nell’uso di malware open-source, come Stealerium e Phantom Stealer, da parte di cybercriminali opportunisti. Questi strumenti, nati “a scopo educativo”, si stanno trasformando in armi efficaci per il furto di dati sensibili, mettendo a rischio identità e informazioni aziendali.

L’identità nel mirino: la minaccia degli infostealer

Gli attori delle minacce stanno sempre più concentrando i loro sforzi sugli infostealer, poiché il furto di identità è diventato una priorità assoluta nel panorama del cybercrime. Mentre molti prediligono offerte di “malware-as-a-service”, come Lumma Stealer o Amatera Stealer, un numero crescente di criminali si rivolge a soluzioni “usa e getta” o liberamente disponibili su piattaforme come GitHub. Stealerium ne è un esempio lampante.

Stealerium: da strumento educativo a minaccia globale

Emerso nel 2022 come malware open-source su GitHub, Stealerium è ancora scaricabile “solo a scopo educativo”. Se da un lato può essere utile per gli esperti di sicurezza per sviluppare firme di rilevamento, dall’altro offre una “formazione” pericolosa ai malintenzionati. Questi ultimi possono facilmente adottare, modificare e persino migliorare il codice, dando vita a varianti del malware sempre più difficili da rilevare e contrastare.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“Non è chiaro fino a che punto Phantom Stealer sia correlato a Stealerium, ma le due famiglie condividono una porzione molto ampia di codice ed è probabile che il primo abbia riutilizzato codice dal secondo,” spiegano i ricercatori di Proofpoint. Molti campioni analizzati, infatti, fanno riferimento a entrambi nel loro codice, evidenziando una stretta parentela tra le due minacce.

Capacità di furto senza precedenti

Stealerium è un infostealer completo, scritto in .NET, capace di esfiltrare una vasta gamma di dati, tra cui: cookie e credenziali del browser; dati di carte di credito(tramite scraping di moduli web); token di sessioneda servizi di gioco (es. Steam); dettagli su wallet di criptovalute; file sensibilidi vario tipo; dati di keylogging e clipboard; informazioni su app installate, hardware e chiavi di prodotto Windows; dati di servizi VPN(NordVPN, OpenVPN, ProtonVPN, ecc.), informazioni e password di reti Wi-Fi

Una caratteristica particolarmente inquietante è la capacità di Stealerium di rilevare contenuti per adulti nelle schede del browser aperte e di acquisire screenshot del desktop e immagini dalla webcam. Questa funzionalità può essere utilizzata per tattiche di “sextortion”, un fenomeno in crescita nel panorama del cybercrime.

Campagne in aumento: l’allarme di Proofpoint

Nonostante Stealerium esista da tempo, i ricercatori di Proofpoint hanno recentemente osservato un’impennata nelle campagne che distribuiscono codice basato su questo malware. In particolare, una campagna di maggio 2025, collegata all’attore TA2715, ha riacceso i riflettori su Stealerium, che non era stato utilizzato in modo significativo dall’inizio del 2023. Anche TA2536, un altro cybercriminale di bassa sofisticazione, lo ha impiegato a fine maggio 2025, un cambio di rotta notevole considerando che entrambi avevano recentemente preferito Snake Keylogger.

Le campagne, che hanno coinvolto volumi di messaggi da poche centinaia a decine di migliaia, hanno utilizzato una varietà di esche persuasive e meccanismi di consegna. Le email, che impersonavano organizzazioni come fondazioni di beneficenza, banche, tribunali e servizi di documenti, contenevano allegati malevoli come eseguibili compressi, JavaScript, VBScript, file ISO, IMG e archivi ACE. Gli oggetti delle email, spesso urgenti o di rilevanza finanziaria (“Pagamento in Scadenza”, “Convocazione in Tribunale”, “Fattura Donazione”), miravano a indurre le vittime ad aprire gli allegati.

Come proteggersi: il consiglio di Proofpoint

Proofpoint raccomanda alle organizzazioni di monitorare attentamente attività come l’uso di “netsh wlan”, l’uso sospetto di esclusioni di PowerShell Defender e l’esecuzione di Chrome senza interfaccia grafica, tutti comportamenti coerenti con le infezioni da Stealerium. È inoltre fondamentale monitorare grandi quantità di dati che lasciano la rete, specialmente verso servizi e URL non autorizzati, o bloccare del tutto il traffico in uscita verso tali servizi.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli