StealC V2: anatomia di un malware moderno e modulare

Sandro Sana : 5 Maggio 2025 12:06

Nel vasto arsenale del cybercrimine, una categoria di malware continua ad evolversi con una velocità e una precisione quasi industriale: gli information stealer. Questi strumenti, nati inizialmente per sottrarre dati di autenticazione dai browser, sono ormai diventati sofisticate piattaforme di raccolta dati, persistenti e scalabili. Tra questi, StealC rappresenta una delle implementazioni più dinamiche e pericolose degli ultimi anni.

La versione 2 di StealC, apparsa sul radar a marzo 2025, ne segna un’evoluzione profonda, sia dal punto di vista strutturale che operativo. Questo articolo vuole essere una disamina tecnica completa, arricchita dall’analisi comportamentale visuale ottenuta tramite una sandbox dinamica, e rivolta a professionisti del settore che vogliono comprendere il vero impatto di questo stealer nell’ecosistema delle minacce contemporanee.

Chi è StealC? Breve storia e contesto

StealC è emerso nel 2023 come un infostealer generico, spesso usato da threat actor di medio livello per campagne di phishing e malware-as-a-service (MaaS). Sfruttava già da allora un approccio modulare, basato su loader custom e comunicazioni C2 mascherate.

Negli ultimi mesi del 2024 e nei primi del 2025, gli analisti di Zscaler e altri team di threat intelligence hanno osservato una crescita esponenziale di varianti, con l’introduzione della versione 2 (V2) come vero e proprio salto architetturale. Si tratta, a tutti gli effetti, di un framework di cyber spionaggio: un sistema flessibile, adattivo e dotato di un builder integrato che permette di personalizzare l’eseguibile finale in base al target.

Analisi di StealC V2

C2 e comunicazione: JSON e RC4

Uno dei cambiamenti principali è l’introduzione di una struttura C2 basata su JSON. Il traffico in uscita utilizza pacchetti ben strutturati, con chiavi e valori che rappresentano lo stato del client infetto, i moduli attivi e le richieste di aggiornamento. Tutto il traffico è cifrato in RC4, una scelta apparentemente obsoleta ma ancora efficace per eludere i controlli superficiali (soprattutto nei casi di SSL inspection parziale).

Architettura modulare e distribuzione payload

StealC V2 può distribuire moduli secondari sotto forma di:

• MSI packages (T1218.007 – Trusted Execution Utility: msiexec.exe),
• Script PowerShell (T1059.001 – Command and Scripting Interpreter: PowerShell),
• File eseguibili camuffati con estensioni arbitrarie o DLL caricate in memoria.

Questi payload sono controllati da regole configurabili basate su:

• Geolocalizzazione IP,
• Hardware ID (T1082 – System Information Discovery),
• Software installato (T1518 – Software Discovery).

Persistenza e evasione

I meccanismi di persistenza si appoggiano su:

• Task Scheduler (T1053.005),
• Chiavi Run e RunOnce del registro (T1547.001),
• Caricamento tramite AppInit_DLLs per DLL hijacking (T1546.010).

L’offuscamento del codice è stato migliorato sensibilmente, con funzioni API risolte dinamicamente tramite hashing, per evitare il matching statico da parte degli AV tradizionali. Le configurazioni sono cifrate in AES con chiave embedded, e il codice presenta segmenti crittografati caricati solo in memoria (T1027 – Obfuscated Files or Information).

Nuove funzionalità: screenshot, file grabber e brute-forcing

Tra le funzionalità nuove o migliorate della V2 troviamo:

Screenshot multi-monitor

Il modulo screenshot ora è in grado di mappare più display, salvando una sequenza di immagini in formato compresso e inviandole via C2 in batch crittografati. La funzione può essere innescata manualmente o automatizzata a intervalli.

File Grabber Unificato

Un solo modulo è in grado di:

• Cercare file per estensione (.docx, .xlsx, .kdbx, .pdf),
• Filtrare per path (Desktop, Downloads, OneDrive),
• Analizzare metadati per evitare duplicati.

Brute-Forcing Server-Side

Un’altra novità è la possibilità di sottoporre credenziali raccolte a un modulo server-side di brute force, che sfrutta dizionari aggiornabili e reporta solo quelle effettivamente valide. Questo permette agli operatori di ridurre la rumore di fondo delle esfiltrazioni.

Grafo comportamentale: analisi della telemetria sandbox

Il grafo allegato rappresenta l’esecuzione osservata in un ambiente sandbox. Ecco alcuni elementi chiave:

• Il nodo iniziale StealC.exe attiva una catena di esecuzione parallela. Ogni linea rappresenta un collegamento parent-child tra processi (es. esecuzione o injection).
• Le relazioni con [T1059.001] indicano PowerShell scripts eseguiti, probabilmente per:
  • raccogliere info di sistema (T1082),
  • testare la presenza di AV o sandbox (T1497),
  • scaricare ulteriori moduli.
• Altri nodi (es. [T1055]) fanno riferimento a tecniche di Process Injection, usate per migrare in processi legittimi (es. explorer.exe o svchost.exe).
• Tecniche come [T1071.001] (web protocols) evidenziano comunicazioni con il C2 via HTTP/HTTPS (eventualmente offuscati come traffico legittimo con header personalizzati o parametri randomizzati).
• Alcuni processi secondari si chiudono rapidamente, altri restano attivi in background, suggerendo l’utilizzo di thread asincroni o tecniche di polling remoto.

In sintesi: la struttura modulare e non lineare del malware è pensata per eludere detection comportamentali e confondere l’analisi post-mortem.

Relazione con Amadey e l’ecosistema malware

StealC V2 è stato spesso osservato in combinazione con Amadey, usato come dropper iniziale. In questo schema:

1. Amadey infetta il sistema,
2. Raccoglie informazioni iniziali,
3. Se i criteri sono soddisfatti, viene scaricato StealC,
4. Quest’ultimo prende il controllo della fase di esfiltrazione e persistente C2.

Questa collaborazione tra malware è indicativa di un ecosistema cybercriminale maturo, in cui i payload si specializzano e agiscono in sinergia per massimizzare il profitto.

Considerazioni conclusive

StealC V2 non è uno stealer qualsiasi. È un prodotto professionale, destinato a gruppi APT, gruppi di cybercrime organizzato e a operatori che desiderano campagne customizzabili su larga scala. La sua architettura modulare, la configurabilità granulare, e le tecniche di evasione avanzate lo rendono estremamente pericoloso.

Le difese tradizionali non bastano più. Occorre un approccio multilivello:

• EDR con rilevamento comportamentale e memoria (memory scanning),
• SIEM con correlazione di eventi (esecuzioni PowerShell anomale, connessioni esterne su domini appena registrati),
• Restrizioni su PowerShell (modalità ConstrainedLanguage),
• Network monitoring con ispezione TLS profonda,
• E soprattutto training continuo degli utenti, vero primo anello della catena difensiva.

StealC V2 è solo uno dei tanti segnali che ci ricordano quanto l’industria del malware sia oggi una vera e propria supply chain, con ruoli, moduli, logiche di mercato e aggiornamenti continui. Un malware che evolve come un software, ma con un solo obiettivo: rubare, controllare, monetizzare.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore