Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 8 Settembre 2025 14:28
I ricercatori di Proofpoint, leader nella cybersecurity e nella protezione delle informazioni, hanno rilevato un preoccupante aumento nell’uso di malware open-source, come Stealerium e Phantom Stealer, da parte di cybercriminali opportunisti. Questi strumenti, nati “a scopo educativo”, si stanno trasformando in armi efficaci per il furto di dati sensibili, mettendo a rischio identità e informazioni aziendali.
Gli attori delle minacce stanno sempre più concentrando i loro sforzi sugli infostealer, poiché il furto di identità è diventato una priorità assoluta nel panorama del cybercrime. Mentre molti prediligono offerte di “malware-as-a-service”, come Lumma Stealer o Amatera Stealer, un numero crescente di criminali si rivolge a soluzioni “usa e getta” o liberamente disponibili su piattaforme come GitHub. Stealerium ne è un esempio lampante.
Emerso nel 2022 come malware open-source su GitHub, Stealerium è ancora scaricabile “solo a scopo educativo”. Se da un lato può essere utile per gli esperti di sicurezza per sviluppare firme di rilevamento, dall’altro offre una “formazione” pericolosa ai malintenzionati. Questi ultimi possono facilmente adottare, modificare e persino migliorare il codice, dando vita a varianti del malware sempre più difficili da rilevare e contrastare.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“Non è chiaro fino a che punto Phantom Stealer sia correlato a Stealerium, ma le due famiglie condividono una porzione molto ampia di codice ed è probabile che il primo abbia riutilizzato codice dal secondo,” spiegano i ricercatori di Proofpoint. Molti campioni analizzati, infatti, fanno riferimento a entrambi nel loro codice, evidenziando una stretta parentela tra le due minacce.
Stealerium è un infostealer completo, scritto in .NET, capace di esfiltrare una vasta gamma di dati, tra cui: cookie e credenziali del browser; dati di carte di credito(tramite scraping di moduli web); token di sessioneda servizi di gioco (es. Steam); dettagli su wallet di criptovalute; file sensibilidi vario tipo; dati di keylogging e clipboard; informazioni su app installate, hardware e chiavi di prodotto Windows; dati di servizi VPN(NordVPN, OpenVPN, ProtonVPN, ecc.), informazioni e password di reti Wi-Fi
Una caratteristica particolarmente inquietante è la capacità di Stealerium di rilevare contenuti per adulti nelle schede del browser aperte e di acquisire screenshot del desktop e immagini dalla webcam. Questa funzionalità può essere utilizzata per tattiche di “sextortion”, un fenomeno in crescita nel panorama del cybercrime.
Nonostante Stealerium esista da tempo, i ricercatori di Proofpoint hanno recentemente osservato un’impennata nelle campagne che distribuiscono codice basato su questo malware. In particolare, una campagna di maggio 2025, collegata all’attore TA2715, ha riacceso i riflettori su Stealerium, che non era stato utilizzato in modo significativo dall’inizio del 2023. Anche TA2536, un altro cybercriminale di bassa sofisticazione, lo ha impiegato a fine maggio 2025, un cambio di rotta notevole considerando che entrambi avevano recentemente preferito Snake Keylogger.
Le campagne, che hanno coinvolto volumi di messaggi da poche centinaia a decine di migliaia, hanno utilizzato una varietà di esche persuasive e meccanismi di consegna. Le email, che impersonavano organizzazioni come fondazioni di beneficenza, banche, tribunali e servizi di documenti, contenevano allegati malevoli come eseguibili compressi, JavaScript, VBScript, file ISO, IMG e archivi ACE. Gli oggetti delle email, spesso urgenti o di rilevanza finanziaria (“Pagamento in Scadenza”, “Convocazione in Tribunale”, “Fattura Donazione”), miravano a indurre le vittime ad aprire gli allegati.
Proofpoint raccomanda alle organizzazioni di monitorare attentamente attività come l’uso di “netsh wlan”, l’uso sospetto di esclusioni di PowerShell Defender e l’esecuzione di Chrome senza interfaccia grafica, tutti comportamenti coerenti con le infezioni da Stealerium. È inoltre fondamentale monitorare grandi quantità di dati che lasciano la rete, specialmente verso servizi e URL non autorizzati, o bloccare del tutto il traffico in uscita verso tali servizi.
RedazioneUn’episodio di cyberattacco ha interessato Leroy Merlin, coinvolgendo i dati personali di numerosi clienti in Francia, con un impatto su centinaia di migliaia di individui. Leroy Merlin assicura che...
Gli sforzi dei legislatori e delle forze dell’ordine per contrastare il riciclaggio di denaro e le procedure più complesse di verifica delle schede SIM non hanno indebolito in modo significativo la...
Sviluppatori e amministratori di tutto il mondo stanno aggiornando urgentemente i propri server a seguito della scoperta di una vulnerabilità critica in React Server, che consente agli aggressori di ...
Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. ...
Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastru...
