Gli infostealer sono oggi una delle forme più diffuse di malware: raccolgono dati dai browser e dalle app in background, li raggruppano e li inviano ai criminali. Il danno spesso si manifesta in un secondo momento attraverso accessi sospetti, acquisti non autorizzati o reimpostazioni impreviste delle password.
Centinaia di varianti di infostealer sono gestite da diversi gruppi criminali, spesso vendute o affittate come kit “malware-as-a-service” e diffuse tramite malvertising, programmi di installazione falsi, siti di software pirata e piattaforme di messaggistica.
Per identificare le tipologie di soggetti più vulnerabili, gli esperti hanno impiegato la piattaforma NordStellar per analizzare i 10.000 domini più frequentemente menzionati nei log degli infostealer a livello globale nel corso del 2025. Da questa analisi approfondita, sono stati identificati un totale di quasi 500 milioni di log di infostealer.
“Quando esaminiamo le app e i siti web più spesso collegati alle infezioni da infostealer, emergono tre chiari modelli di utilizzo. Sono così comuni che quasi chiunque può diventare una vittima, inclusi i professionisti IT“, afferma Marijus Briedis, CTO di NordVPN. “Gli infostealer sono software dannosi progettati per sottrarre, in modo furtivo e senza che l’utente se ne accorga, dati sensibili come credenziali di accesso, informazioni di navigazione e sessioni attive salvate. Più informazioni il tuo dispositivo “ricorda”, maggiore è il rischio che vengano esposte in un solo istante.”
Profili delle vittime di infostealer identificate nel 2025
Quasi il 99% delle vittime di infostealer è costituito da utenti Windows comuni. Gli aggressori si concentrano costantemente su Windows perché è il sistema operativo utilizzato dalla stragrande maggioranza dei PC e supporta i browser e i giochi che costituiscono i loro bersagli principali, rendendolo un ambiente estremamente affidabile e redditizio per condurre campagne su larga scala.
Per identificare i gruppi più colpiti, le vittime sono state classificate in base ai siti visitati e alle app installate:
- Gli utenti internet rappresentano il gruppo più ampio di vittime, influenzato dalla comodità e dalle abitudini online quotidiane. All’interno di questa categoria, gli utenti dei social media sono i più colpiti: quasi 65 milioni di log di infostealer sono stati collegati a piattaforme come Facebook, Instagram, Discord e account X. Questa stessa categoria include anche i servizi di streaming e l’e-commerce. Circa 28 milioni di log di infostealer sono stati associati a servizi di streaming come Netflix, Disney e HBO, mentre 26 milioni riguardano siti di shopping come Amazon ed eBay.
Per i criminali, il valore è semplice: una sessione di browser rubata può aprire l’accesso a email, marketplace e persino servizi di pagamento senza bisogno di indovinare una password.
- I giocatori costituiscono il secondo gruppo più numeroso di vittime, con oltre 53 milioni di log di infostealer rilevati. La loro attività è fortemente legata agli ecosistemi di gioco, con launcher installati e piattaforme principali che compaiono frequentemente nella cronologia di navigazione.Tra le piattaforme più rischiose figurano Roblox, Steam, Epic, Fortnite, Twitch, Riot e Minecraft. Molte di queste sono estremamente popolari tra bambini e adolescenti, pertanto, il download di una mod o di un contenuto rischioso può facilmente infettare un PC condiviso in ambito familiare, compromettendo la sicurezza di tutti gli utenti.
Questi account spesso memorizzano metodi di pagamento e acquisti digitali di valore, e le infezioni vengono spesso introdotte attraverso fonti rischiose come giochi crackati, cheat, mod o launcher non ufficiali.
- I professionisti IT hanno un’impronta diversa. In questa categoria sono stati trovati quasi 27 milioni di log di infostealer. Queste vittime sono in genere utenti intensivi di IT, con strumenti di sviluppo, software di database e strumenti di accesso remoto installati sui loro dispositivi. I portali e le attività più rischiosi per gli infostealer includono portali di identità aziendali, piattaforme di codice e cloud, servizi di collaborazione come Zoom, router o pagine IP private, portali HR o di assunzione, web builder e persino LinkedIn.
Questi profili spesso indicano PC utilizzati per l’ingegneria o l’amministrazione IT, dove i login del browser rubati possono portare all’accesso a sistemi interni, piattaforme di sviluppo e strumenti di gestione remota.
“Gli infostealer non prendono di mira un tipo di persona, ma un comportamento prevedibile”, afferma Briedis. “Che si tratti di login sui social media e acquisti online, ecosistemi di gioco o piattaforme di hosting di codice, lo schema è lo stesso. Una volta che gli aggressori catturano una sessione o un login salvato, possono spostarsi tra gli account più velocemente di quanto la maggior parte delle persone riesca a reagire”.
Come ridurre il rischio senza stravolgere le proprie abitudini
“Il mito più diffuso è che gli infostealer colpiscano solo le persone distratte”, afferma Briedis. ”In realtà, sono progettati per sfruttare le abitudini quotidiane e la comodità dell’utente. La difesa più efficace consiste nel ridurre al minimo le informazioni che un dispositivo compromesso può rivelare in un’unica occasione”.
- Inizia dagli account più critici, quelli che sbloccano l’accesso a tutto il resto, come l’email principale e le credenziali di login. Attiva per primi l’autenticazione a più fattori (MFA) e le passkey, quindi estendi queste protezioni ai servizi bancari, di shopping e agli strumenti di lavoro.
- Usa il browser con attenzione. Verifica le password salvate, elimina quelle non più necessarie ed esci dalle sessioni che non riconosci. Mantieni sempre aggiornati il sistema operativo e il browser, poiché le versioni obsolete facilitano l’accesso agli hacker e rendono più complesso il recupero dopo un’infezione.
- Presta particolare attenzione a download e strumenti “troppo belli per essere veri”. Se un software ti chiede di disattivare le protezioni, ignorare gli avvisi di sicurezza o installare launcher non ufficiali o programmi crackati, è spesso da lì che hanno origine molte infezioni.
