Una nuova minaccia informatica sta emergendo con caratteristiche tanto inquietanti quanto sofisticate: si chiama Stealerium, un infostealer open source che non si limita soltanto a rubare credenziali, dati bancari o cookie, ma introduce anche funzioni di monitoraggio dell’attività web e della webcam, con potenziali usi di sextortion.
Stealerium è stato reso pubblico su GitHub nel 2022, dichiaratamente per “scopi educativi”. Tuttavia, il fatto che il suo codice sia open source lo rende facilmente accessibile, editable e adattabile da chi ha intenzioni malevole. Diverse campagne cybercriminali stanno ormai sfruttando versioni modificate di Stealerium o malware strettamente correlati, come Phantom Stealer o Warp Stealer, che condividono parti consistenti del codice.
Come si propaga
La diffusione di Stealerium avviene tramite le tecniche classiche del phishing:
- email che sembrano provenire da banche, enti pubblici, organizzazioni benefiche, con oggetti urgenti (“Payment Due”, “Court Summons”, “Donation Invoice”, etc.)
- allegati compatti in formati ZIP, ISO, IMG, file JavaScript o VBScript, oppure file VBS dentro immagini disco (IMG, ISO) che eseguono loader malevoli
- link che inducono il destinatario a scaricare ed eseguire il payload.
Funzionalità e tecnica: che cosa fa Stealerium
Una volta che il malware è installato, attiva varie funzionalità di furto dati e spionaggio:
Estrazione di dati sensibili
Stealerium può rubare password, cookie di browser, cronologia, dati di carte di credito, token di sessione da servizi online (anche giochi), chiavi di portafoglio di criptovalute, librerie di file vari sensibili archiviate sul dispositivo.
Persistenza e occultamento
– Crea un mutex per assicurarsi che non vengano avviate più istanze contemporaneamente.
– Effettua controlli anti-analisi: blocco in ambienti sandbox o virtualizzati, verifica di processi sospetti o nomi utente “blocklisted”.
– Usa attività schedulate (scheduled tasks) e loader con PowerShell per garantire che il malware sopravviva al riavvio.
In alcune varianti, disabilita o esclude alcune protezioni di Windows Defender tramite comandi PowerShell.
Ricognizione di rete e sistema
– Esecuzione di comandi come netsh wlan per elencare profili Wi-Fi salvati e reti wireless vicine, utile per movimento laterale o localizzazione.
– Uso di Chrome in modalità headless con opzioni come –remote-debugging-port per aggirare le protezioni del browser e leggere cookie o sessioni.
Funzione di sextortion automatizzata
Questa è l’aspetto più “disturbante” che differenzia Stealerium da molti altri infostealer:
-Il malware “ascolta” il browser alla ricerca di URL o parole chiave NSFW (Not Safe For Work), come “porn”, “sex”, etc. Quando le rileva, cattura screenshot delle schede attive e contemporaneamente scatta foto tramite webcam.
-Queste immagini possono poi essere inviate ai criminali per utilizzarle come arma di ricatto digitale. Anche se finora non ci sono report pubblici di vittime identificate con certezza che abbiano subito sextortion tramite questa specifica funzione, la presenza della feature è un segnale di rischio concreto.
Campagne osservate
Proofpoint segnala che da maggio 2025 è aumentato notevolmente il numero di campagne che usano Stealerium:
-Gli attori TA2715 e TA2536 sono stati identificati come utilizzatori del malware.
-I target includono settori come ospitalità, finanza, istruzione, ma anche utenti privati.
-Nei messaggi usati nei phishing si usano temi urgenti o per effetto leva psicologica: richieste di pagamento, sospensione di account, inviti all’azione immediata.
Perché è pericoloso
Violazione della privacy profonda: non solo dati economici o tecnici, ma anche immagini personali potenzialmente imbarazzanti.
Open source = facile diffusione: il codice pubblico significa che chiunque può studiarlo, modificarlo, migliorarlo, farne varianti meno rilevabili.
Varietà di metodi di esfiltrazione: invio tramite Telegram, Discord, SMTP, webhook, upload su servizi di file sharing tipo GoFile, Zulip, ecc.
Tecniche evasive: anti-analisi, blocchi se l’ambiente non soddisfa certi requisiti, cancellazione di sé stessi se compromessi.
Come difendersi
Ecco alcuni consigli pratici e tecnici per proteggersi da rischi come quelli introdotti da Stealerium:
Mantenere il sistema aggiornato: patch di sistema operativo, browser e antivirus/EDR.
Controlli su allegati e link: diffidare da email con allegati compressi, script, immagini disco sospette; non abilitare macro in documenti Office di origine non verificata.
Endpoint protection avanzata: usare soluzioni che controllino:
-attività sospette di PowerShell;
-creazioni di task schedulati non usuali;
-esecuzioni di processi “headless” o con remote debugging;
-esclusioni di Windows Defender o altre protezioni tramite script.
Monitoraggio del traffico in uscita: bloccare o segnalare traffico verso servizi che non dovrebbero essere usati, come upload non autorizzati, webhook di Discord/Telegram, servizi di file sharing pubblici.
Consapevolezza dell’utente: educare a riconoscere phishing, a usare webcam solo quando strettamente necessario, a coprire la webcam fisicamente quando non in uso.
Stealerium rappresenta un’evoluzione particolarmente insidiosa nel panorama degli infostealer: combina il furto di dati “tradizionale” con invasioni della privacy che possono portare a danni psicologici, oltre che economici. Per i professionisti della sicurezza, ma anche per utenti catturati nella vita quotidiana, è essenziale capire queste nuove funzionalità e adottare misure preventive.
*Illustrazione progettata da Freepick
The post Il malware che spia chi visita siti porno first appeared on Hackerjournal.it.