Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

StealC V2: anatomia di un malware moderno e modulare

Sandro Sana : 5 Maggio 2025 12:06

Nel vasto arsenale del cybercrimine, una categoria di malware continua ad evolversi con una velocità e una precisione quasi industriale: gli information stealer. Questi strumenti, nati inizialmente per sottrarre dati di autenticazione dai browser, sono ormai diventati sofisticate piattaforme di raccolta dati, persistenti e scalabili. Tra questi, StealC rappresenta una delle implementazioni più dinamiche e pericolose degli ultimi anni.

La versione 2 di StealC, apparsa sul radar a marzo 2025, ne segna un’evoluzione profonda, sia dal punto di vista strutturale che operativo. Questo articolo vuole essere una disamina tecnica completa, arricchita dall’analisi comportamentale visuale ottenuta tramite una sandbox dinamica, e rivolta a professionisti del settore che vogliono comprendere il vero impatto di questo stealer nell’ecosistema delle minacce contemporanee.

Chi è StealC? Breve storia e contesto

StealC è emerso nel 2023 come un infostealer generico, spesso usato da threat actor di medio livello per campagne di phishing e malware-as-a-service (MaaS). Sfruttava già da allora un approccio modulare, basato su loader custom e comunicazioni C2 mascherate.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Negli ultimi mesi del 2024 e nei primi del 2025, gli analisti di Zscaler e altri team di threat intelligence hanno osservato una crescita esponenziale di varianti, con l’introduzione della versione 2 (V2) come vero e proprio salto architetturale. Si tratta, a tutti gli effetti, di un framework di cyber spionaggio: un sistema flessibile, adattivo e dotato di un builder integrato che permette di personalizzare l’eseguibile finale in base al target.

    Analisi di StealC V2

    C2 e comunicazione: JSON e RC4

    Uno dei cambiamenti principali è l’introduzione di una struttura C2 basata su JSON. Il traffico in uscita utilizza pacchetti ben strutturati, con chiavi e valori che rappresentano lo stato del client infetto, i moduli attivi e le richieste di aggiornamento. Tutto il traffico è cifrato in RC4, una scelta apparentemente obsoleta ma ancora efficace per eludere i controlli superficiali (soprattutto nei casi di SSL inspection parziale).

    Architettura modulare e distribuzione payload

    StealC V2 può distribuire moduli secondari sotto forma di:

    • MSI packages (T1218.007 – Trusted Execution Utility: msiexec.exe),
    • Script PowerShell (T1059.001 – Command and Scripting Interpreter: PowerShell),
    • File eseguibili camuffati con estensioni arbitrarie o DLL caricate in memoria.

    Questi payload sono controllati da regole configurabili basate su:

    • Geolocalizzazione IP,
    • Hardware ID (T1082 – System Information Discovery),
    • Software installato (T1518 – Software Discovery).

    Persistenza e evasione

    I meccanismi di persistenza si appoggiano su:

    • Task Scheduler (T1053.005),
    • Chiavi Run e RunOnce del registro (T1547.001),
    • Caricamento tramite AppInit_DLLs per DLL hijacking (T1546.010).

    L’offuscamento del codice è stato migliorato sensibilmente, con funzioni API risolte dinamicamente tramite hashing, per evitare il matching statico da parte degli AV tradizionali. Le configurazioni sono cifrate in AES con chiave embedded, e il codice presenta segmenti crittografati caricati solo in memoria (T1027 – Obfuscated Files or Information).

    Nuove funzionalità: screenshot, file grabber e brute-forcing

    Tra le funzionalità nuove o migliorate della V2 troviamo:

    Screenshot multi-monitor

    Il modulo screenshot ora è in grado di mappare più display, salvando una sequenza di immagini in formato compresso e inviandole via C2 in batch crittografati. La funzione può essere innescata manualmente o automatizzata a intervalli.

    File Grabber Unificato

    Un solo modulo è in grado di:

    • Cercare file per estensione (.docx, .xlsx, .kdbx, .pdf),
    • Filtrare per path (Desktop, Downloads, OneDrive),
    • Analizzare metadati per evitare duplicati.

    Brute-Forcing Server-Side

    Un’altra novità è la possibilità di sottoporre credenziali raccolte a un modulo server-side di brute force, che sfrutta dizionari aggiornabili e reporta solo quelle effettivamente valide. Questo permette agli operatori di ridurre la rumore di fondo delle esfiltrazioni.

    Grafo comportamentale: analisi della telemetria sandbox

    Il grafo allegato rappresenta l’esecuzione osservata in un ambiente sandbox. Ecco alcuni elementi chiave:

    • Il nodo iniziale StealC.exe attiva una catena di esecuzione parallela. Ogni linea rappresenta un collegamento parent-child tra processi (es. esecuzione o injection).
    • Le relazioni con [T1059.001] indicano PowerShell scripts eseguiti, probabilmente per:
      • raccogliere info di sistema (T1082),
      • testare la presenza di AV o sandbox (T1497),
      • scaricare ulteriori moduli.
    • Altri nodi (es. [T1055]) fanno riferimento a tecniche di Process Injection, usate per migrare in processi legittimi (es. explorer.exe o svchost.exe).
    • Tecniche come [T1071.001] (web protocols) evidenziano comunicazioni con il C2 via HTTP/HTTPS (eventualmente offuscati come traffico legittimo con header personalizzati o parametri randomizzati).
    • Alcuni processi secondari si chiudono rapidamente, altri restano attivi in background, suggerendo l’utilizzo di thread asincroni o tecniche di polling remoto.

    In sintesi: la struttura modulare e non lineare del malware è pensata per eludere detection comportamentali e confondere l’analisi post-mortem.

    Relazione con Amadey e l’ecosistema malware

    StealC V2 è stato spesso osservato in combinazione con Amadey, usato come dropper iniziale. In questo schema:

    1. Amadey infetta il sistema,
    2. Raccoglie informazioni iniziali,
    3. Se i criteri sono soddisfatti, viene scaricato StealC,
    4. Quest’ultimo prende il controllo della fase di esfiltrazione e persistente C2.

    Questa collaborazione tra malware è indicativa di un ecosistema cybercriminale maturo, in cui i payload si specializzano e agiscono in sinergia per massimizzare il profitto.

    Considerazioni conclusive

    StealC V2 non è uno stealer qualsiasi. È un prodotto professionale, destinato a gruppi APT, gruppi di cybercrime organizzato e a operatori che desiderano campagne customizzabili su larga scala. La sua architettura modulare, la configurabilità granulare, e le tecniche di evasione avanzate lo rendono estremamente pericoloso.

    Le difese tradizionali non bastano più. Occorre un approccio multilivello:

    • EDR con rilevamento comportamentale e memoria (memory scanning),
    • SIEM con correlazione di eventi (esecuzioni PowerShell anomale, connessioni esterne su domini appena registrati),
    • Restrizioni su PowerShell (modalità ConstrainedLanguage),
    • Network monitoring con ispezione TLS profonda,
    • E soprattutto training continuo degli utenti, vero primo anello della catena difensiva.

    StealC V2 è solo uno dei tanti segnali che ci ricordano quanto l’industria del malware sia oggi una vera e propria supply chain, con ruoli, moduli, logiche di mercato e aggiornamenti continui. Un malware che evolve come un software, ma con un solo obiettivo: rubare, controllare, monetizzare.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    StealC V2: anatomia di un malware moderno e modulare

    Nel vasto arsenale del cybercrimine, una categoria di malware continua ad evolversi con una velocità e una precisione quasi industriale: gli information stealer. Questi strumenti, nati inizialmen...

    Op_Italy: un attacco DDoS di Mr Hamza è stato sferrato contro il Ministero Della Difesa italiana

    Sabato 3 maggio, un post pubblicato su un canale Telegram legato al gruppo “Mr Hamza” ha rivendicato un cyberattacco ai danni del Ministero della Difesa italiano. Il messaggio, scritto i...

    Hai cambiato la password? Tranquillo, RDP se ne frega! La Scoperta Shock su Windows

    Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...

    Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

    Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...

    Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

    Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006