123 Stealer a 120 euro al mese: il rischio della democratizzazione degli strumenti di cyber crime

L’hacker, noto con lo pseudonimo di Koneko, ha proposto 123 Stealer, un nuovo malware, un infostealer in affitto a 120 euro al mese, per aiutare i cyber criminali privi di competenze a rubare informazioni sensibili e riservate. In questo modo si riduce la soglia d’accesso all’ecosistema cyber criminale, permettendo anche a chi ha scarse skill di sferrare attacchi sofisticati.

“Il fenomeno delle piattaforme di Hacking-as-a-Service (HaaS) e delle Malware-as-a-Service (MaaS) ha abbattuto drasticamente la barriera d’ingresso al cybercrimine, permettendo anche a soggetti privi di competenze avanzate di accedere a strumenti sofisticati per condurre attacchi informatici”, commenta Giovanni Del Panta, Responsabile Cybersecurity Architects per Maticmind.

Ecco come mitigare il rischio di un infostealer la cui architettura modulare e il supporto multipiattaforma rappresentano una cyber minaccia. Infatti “è un campanello d’allarme che nessun CISO può permettersi di ignorare”, aggiunge Raul Arisi, Cybersecurity Marketing Director per Maticmind.

123 | Stealer, l’infostealer in affitto a 120 euro al mese: i requisiti

Il nuovo infostealer in affitto sembra un “Victorinox universale dei malware” dedicato al furto di informazioni sensibili e riservate. Il tutto è disponibile a “120 euro, la spesa per acquistare due giochi per console, un investimento irrisorio rapportato ai guadagni da un attacco ad un’azienda con l’ausilio di un software scritto con un linguaggio di programmazione nato negli anni ’80 che permette di eludere i sistemi di rilevazione odierni”, osserva Riccardo Paglia, GotoMarket Manager per Maticmind.

123 Stealer è in grado di rubare dati da browser come Chrome e Firefox, oltre ad effettuare l’estrazione di dati salvati come cookie, password e cronologia di navigazione. Inoltre, è specializzato in furto di wallet di criptovalute.

“Questi servizi MaaS e HaaS rappresentano il lato oscuro dell’economia digitale as-a-service: ne condividono le stesse logiche operative, offrendo pacchetti completi che includono: supporto tecnico dedicato, aggiornamenti continui, funzionalità di evasione dai software antivirus, pannelli di gestione user-friendly”, spiega Giovanni Del Panta.

Compilato in C++, non necessita di librerie aggiuntive e vanta dimensioni compatte di 700 kilobyte circa, distribuito nella forma di file eseguibile autonomo, per “offuscare” la possibilità di rilevamento da parte di antivirus e strumenti di detection.

“Dal punto di vista GRC, questa accessibilità amplifica il rischio operativo e di compliance: la sua natura compatta (C++), l’assenza di DLL e l’uso di C2 proxy-based rendono il rilevamento complesso per i controlli tradizionali, aumentando la probabilità di violazioni dati e l’esposizione a sanzioni normative”, mette in evidenza Tullia Mauro, GRC Consultant per Maticmind.

123 Stealer è in grado anche di effettuare intercettazione di file in esecuzione e processi sul device infetto, oltre ad eseguire interazioni con le estensioni del browser. Inoltre supporta più di 70 estensioni per browser (su Chromium e Gecko) attraverso il pannello di controllo, compresa la messaggistica istantanea eccetera.

Un modello criminale con tecniche SaaS

“123 Stealer rappresenta un esempio emblematico della evoluzione del crimine informatico verso un modello più commercializzato ed accessibile. Anche se la sua effettiva efficacia resta da dimostrare, il semplice fatto che offra un servizio completo e professionale già di per sé è un motivo valido per rafforzare le misure difensive — sia a livello personale che aziendale”, conferma Ciro Faella, Sales Specialist per Maticmind.

All’aggressore servono però ancora alcune competenze tecniche per mettere 123 Stealer in condizioni di essere efficace. Infatti, per funzionare serve la configurazione di un server proxy su base di Ubuntu o Debian, per alzare il grado di stealth e ostacolare la tracciabilità del traffico di comando e controllo.

Tuttavia “questo modello criminale replica fedelmente le dinamiche tipiche del SaaS legittimo, confermando come il cybercrime stia evolvendo verso forme organizzate e strutturate, con offerte orientate al servizio e all’accessibilità di massa”, continua Giovanni Del Panta.

Preoccupa “la deriva del cybercrime: oggi non serve più essere un hacker esperto, basta un pagamento con carta di credito per avere accesso a uno strumento capace di rubare credenziali, dati finanziari, informazioni aziendali riservate. Con assistenza, aggiornamenti e persino facilità d’uso, come fosse un normale software SaaS”, mette in guardia Raul Arisi: “Per le aziende questo significa una cosa: la superficie d’attacco si è ampliata e democratizzata. Gli aggressori sono più numerosi, meno prevedibili e sempre più rapidi a colpire.

Questa realtà ci obbliga a ripensare la sicurezza come qualcosa di dinamico e proattivo, non più come una semplice difesa perimetrale”.

Come mitigare il rischio di 123 Stealer

Per proteggersi sono altamente consigliate piattaforme di threat intelligence, implementazioni tecnologiche in termini di architetture difensive e di principi di security-by-design.

“È imperativo per le organizzazioni rafforzare i controlli preventivi (MFA, Zero Trust), investire in threat intelligence proattiva e potenziare le capacità di rilevamento avanzate, riconoscendo che la resilienza cyber è ormai un pilastro strategico della governance aziendale”, avverte Tullia Mauro.

Inoltte “le aziende devono dotarsi di servizi SOC che proteggano i contesti aziendali con un approccio modulare e dinamico e questo scenario non è fantascienza, è la realtà di oggi. Il fatto che un software malevolo come 123 Stealer sia costruito su un linguaggio ‘datato’ come il C++ non è una debolezza, ma la sua più grande forza”, sottolinea Riccardo Paglia.

Inoltre, “serve rafforzare la cultura della consapevolezza interna, dotarsi di strumenti di detection e response avanzati, testare regolarmente la resilienza delle infrastrutture e simulare scenari di attacco realistici”, aggiunge Raul Arisi.

Le 5 aree di mitigazione

Le soluzioni di difesa e mitigazione in relazione al rischio rappresentato da malware come 123 | Stealer possono essere suddivise in 5 aree chiave:

• “protezione degli endpoint: questa è la linea di difesa principale contro i malware infostealer (con EDR, Endpoint Detection & Response): le funzionalità critiche da cercare sono: rilevamento basato su comportamento (behavioral detection); machine learning per minacce zero-day; controllo di script e eseguibili sconosciuti; protezione da credential theft (es. browser scraping);
• sicurezza del browser e credenziali: i browser sono i bersagli principali di 123 Stealer (password, cookie, estensioni, cronologia): si consiglia di disabilitare il salvataggio automatico di password nei browser; usare password manager dedicati con MFA; sandbox dei browser; bloccare installazioni di estensioni non approvate;
• protezione delle crypto-wallet ed estensioni: i malware come 123 Stealer sono progettati per individuare portafogli locali o plugin di gestione crypto: sicurezze minime richieste, usare hardware wallet invece di software wallet; isolare l’uso crypto in un ambiente separato (VM o device dedicato); verificare l’integrità di estensioni crypto installate; disabilitare l’autenticazione automatica nelle estensioni”;
• controllo della rete e monitoraggio proattivo: 123 Stealer richiede un proxy C2 e comunica con server remoti, offrendo un’opportunità per bloccarlo in rete: firewall con ispezione DPI (Deep Packet Inspection); NDR (Network Detection & Response); SIEM con threat intelligence aggiornata; DNS filtering & threat blocking. Azioni specifiche: nloccare geolocalizzazioni sospette (per esempio, traffico .ru, .cn se non necessario); rilevare comportamenti anomali (es. scraping password, enumerazione file); implementare ZTA (Zero Trust Architecture).
• educazione e policy aziendali: molti infostealer si diffondono tramite phishing o esecuzione volontaria di eseguibili: campagne di awareness periodiche; simulazioni di phishing reali; policy BYOD rigorose; controllo dei privilegi (es. eseguibili bloccati per utenti standard)”, conclude Ciro Faella.

Approcci di contrasto attualmente in atto

“Esistono politiche e iniziative per contrastare HaaS e MaaS, ma sono frammentate tra: normative internazionali (per esempio, Convenzione di Budapest sul cybercrime); direttive europee (come NIS2 e CRA); framework nazionali (per esempio, strategie ACN in Italia); cooperazione pubblico-privato e law enforcement internazionale”, spiega Del Panta: “Tuttavia non esiste ancora una normativa globale unitaria che tratti HaaS come categoria criminale specifica, rendendo il contrasto un processo distribuito e reattivo, fondato su approcci complementari”.

“Tra le strategie effettive messe in campo:

• classificazione dei servizi HaaS/MaaS come “servizi criminali digitali”, in alcuni Paesi;
• operazioni congiunte di law enforcement internazionale (per esempio, Europol, Fbi) per la chiusura di marketplace e infrastrutture C2;
• tracciamento delle transazioni criptovalutarie associate alla vendita e affitto di strumenti malevoli;
• controlli sull’export di tecnologie dual-use e strumenti di sorveglianza offensiva”, sottolinea Giovanni Del Panta.

Il ruolo del Cyber Resilience Act (Cra)

Il Cyber Resilience Act, adottato dall’Unione Europea nel 2024, rappresenta un importante passo avanti nella prevenzione a monte del problema. “Si tratta della prima normativa europea che impone requisiti di sicurezza informatica obbligatori per tutti i prodotti digitali (hardware e software) immessi sul mercato europeo”, avverte Del Panta.

“Tra i principali obiettivi:

• rafforzare la security-by-design;
• introdurre obblighi di notifica e aggiornamento per vulnerabilità;
• creare una valutazione di conformità obbligatoria per prodotti digitali ad alto rischio.

Sebbene il CRA non miri direttamente ai servizi HaaS/MaaS, contribuisce a limitare la diffusione e l’efficacia di questi strumenti, alzando l’asticella della sicurezza per software e dispositivi”, conclude Giovanni Del Panta.