Le violazioni di cui leggi sui giornali - account svuotati, aziende messe in ginocchio dal ransomware, dati di milioni di persone in vendita - molto spesso non iniziano con un hacker geniale che buca un firewall. Iniziano con un programmino che gira trenta secondi sul portatile di qualcuno e se ne va portandosi via tutto ciò che il browser si ricordava. Quel programmino è un infostealer, ed è probabilmente la minaccia più sottovalutata di oggi.
Cos'è un infostealer
Un infostealer è un malware con un solo obiettivo: raccogliere il più in fretta possibile tutto ciò che ha valore - password, sessioni, wallet - e sparire. Non cifra i tuoi file come un ransomware, che è rumoroso per definizione; non resta nascosto per mesi come uno spyware. È un furto mordi-e-fuggi: entra, copia, esce. Spesso l'intera operazione dura meno di un minuto, e quando è finita sul tuo computer non è cambiato niente di visibile. Ed è proprio questo che lo rende pericoloso: non te ne accorgi.
Cosa ruba, esattamente
Tutto comincia da dove tu hai messo le tue comodità. Il posto più ricco è il browser, perché è lì che la maggior parte delle persone tiene la propria vita digitale: le password salvate "così non le devo riscrivere".
Ma il bottino non si ferma alle password. In un singolo passaggio un infostealer raccoglie anche: i cookie di sessione (il pezzo più prezioso, ci torniamo); i dati di compilazione automatica, comprese le carte di credito; i wallet di criptovalute; la cronologia di navigazione; i token di app come Discord o Telegram; le credenziali salvate in client FTP, VPN ed email; e spesso uno screenshot del desktop e l'elenco dei programmi installati, per capire chi sei e quanto vali. Tutto questo viene impacchettato in quello che nel mondo del crimine si chiama un log: una cartella ordinata, pronta per essere venduta.
Come fa, tecnicamente
La domanda giusta è: come fa a leggere le password, se il browser le tiene "cifrate"? Qui c'è il dettaglio che sorprende quasi tutti. Chrome, Edge e i browser derivati salvano le password in un piccolo database - un file SQLite chiamato Login Data - cifrate con una chiave. Quella chiave, a sua volta, è protetta da DPAPI, il sistema di Windows che lega i segreti all'account utente. Sembra solido. Il problema è che DPAPI sblocca quei segreti per qualsiasi processo che giri con i tuoi permessi. E l'infostealer gira con i tuoi permessi, perché sei stato tu - o un comando che hai eseguito - a lanciarlo.
I browser hanno alzato l'asticella - Chrome nel 2024 ha introdotto l'App-Bound Encryption per legare la chiave dei cookie all'applicazione e non solo all'utente - ma gli stealer si sono adattati in fretta, rubando i dati mentre il browser è in esecuzione o aggirando il vincolo in altri modi. È una corsa agli armamenti continua, non una porta chiusa una volta per tutte.
Perché i cookie valgono più della password
Tra tutto il bottino, i cookie di sessione sono la gemma. Una password rubata, in fondo, si cambia. Ma un cookie di sessione valido è una sessione già autenticata: l'attaccante lo carica nel suo browser ed è dentro il tuo account senza inserire la password e senza che gli venga chiesta l'MFA, perché quel controllo era già stato superato quando avevi fatto login tu. È il motivo per cui "tanto ho l'autenticazione a due fattori" non è più una difesa sufficiente - lo spiego passo passo nel pezzo su ClickFix, la tecnica di social engineering con cui spesso questi stealer arrivano sul computer.
L'economia dietro
Quello che trasforma gli infostealer da fastidio a piaga industriale è il modello di business che li alimenta. Non serve essere bravi: lo stealer si affitta. Esiste come servizio in abbonamento - famiglie come Lumma o RedLine sono nate, cresciute e in alcuni casi smantellate dalle forze dell'ordine (RedLine nell'Operation Magnus dell'ottobre 2024, Lumma in un'azione guidata da Microsoft ed Europol nel maggio 2025, il marketplace Genesis sequestrato nel 2023), ma al posto di una ne spunta subito un'altra. Chi lo affitta infetta le vittime e raccoglie i log; quei log si vendono a pacchi su canali Telegram e marketplace specializzati.
A comprare quei log sono spesso gli initial access broker: gente che non vuole il tuo account di streaming, vuole le credenziali aziendali nascoste dentro il log. Le rivendono ai gruppi ransomware, e così una password salvata distrattamente sul portatile di un dipendente diventa la porta d'ingresso per cifrare un'intera azienda. Le violazioni a catena ai danni dei clienti di Snowflake nel 2024 - circa 165 organizzazioni colpite secondo Mandiant - sono state ricondotte esattamente a questo: credenziali raccolte mesi prima da infostealer e rimaste valide.
Come arriva sul tuo computer
Un infostealer ci arriva quasi sempre con l'inganno, non con un exploit. I vettori più comuni: il software "craccato" e i cheat per i videogiochi - il classico installer gratuito troppo bello per essere vero; i finti aggiornamenti e le finte verifiche tipo ClickFix; le pubblicità malevole e i risultati di ricerca avvelenati che ti portano su un finto sito ufficiale; gli allegati e i pacchetti software malevoli. Il filo comune è sempre lo stesso: convincere te a eseguire qualcosa.
Come ti accorgi - e cosa fare se è successo
Il guaio è che un infostealer ben fatto non lascia segni evidenti: nessun file cifrato, nessun riscatto, niente popup. Spesso te ne accorgi a danno fatto - accessi sospetti, password che non funzionano più, amici che ricevono messaggi strani dai tuoi account. Se sospetti un'infezione, l'ordine delle operazioni conta: prima metti in sicurezza il dispositivo (scollegalo dalla rete, analizzalo o, meglio, reinstallalo); poi - da un dispositivo pulito, non da quello compromesso - cambia le password e soprattutto fai "esci da tutti i dispositivi" su ogni servizio importante, per invalidare le sessioni rubate. Cambiare la password senza invalidare le sessioni è quasi inutile: il cookie rubato resta valido.
Come difendersi
Lato persona: usa un password manager vero invece delle password salvate nel browser; non installare software craccato, mai; passa quando puoi alle passkey o alle chiavi di sicurezza hardware, resistenti al furto perché non sono un segreto che si possa estrarre dal browser; prendi l'abitudine del "esci da tutti i dispositivi" periodico sui servizi critici. Lato azienda: un EDR che riconosce il comportamento dello stealer, il blocco dei server C2 noti, accesso condizionale che lega le sessioni al dispositivo, durata delle sessioni più breve, MFA resistente al phishing e formazione mirata sui vettori qui sopra. Nessuna di queste è una bacchetta magica; insieme spostano l'equilibrio dalla parte giusta.
La lezione
L'era della password sta finendo, e gli infostealer sono lo strumento che l'ha decretato: in un mondo dove la sessione vale più della password, rubare ciò che il browser custodisce è diventato il modo più efficiente per entrare ovunque. La difesa giusta non è una password più lunga - è un'autenticazione che non si può rubare, e la disciplina di non far girare con i tuoi permessi codice di cui non ti fidi.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →