Gli infostealer rappresentano oggi una delle minacce malware più diffuse e sottovalutate. Operano in modo silenzioso, raccolgono dati da browser e applicazioni in background, li aggregano e li inviano ai gruppi criminali. Il danno emerge spesso dopo settimane o mesi, con accessi sospetti, acquisti non autorizzati o reimpostazioni improvvise delle password.
Secondo una nuova analisi condotta dagli esperti di NordVPN attraverso la piattaforma NordStellar, nel 2025 sono stati esaminati i 10.000 domini più frequentemente citati nei registri degli infostealer a livello globale. Il risultato è significativo: quasi 500 milioni di log analizzati in un solo anno. L’obiettivo non riguarda una categoria ristretta di utenti. I dati mostrano tre modelli comportamentali ricorrenti che rendono le vittime particolarmente esposte.
Cosa sono gli infostealer e perché funzionano
Gli infostealer sono software dannosi progettati per sottrarre in modo furtivo credenziali di accesso, informazioni di navigazione, cookie di sessione e dati salvati nei browser. Molte varianti circolano come kit “malware-as-a-service”, venduti o affittati nel sottobosco criminale.
La distribuzione avviene tramite malvertising, installer falsi, software pirata, cheat per videogiochi, launcher non ufficiali e link condivisi su piattaforme di messaggistica. Il vero valore per gli attaccanti non risiede solo nella password, ma nella sessione attiva del browser. Con un cookie valido, un criminale può accedere a email, marketplace e servizi di pagamento senza dover forzare credenziali.
Marijus Briedis, CTO di NordVPN, sottolinea un aspetto cruciale: più informazioni un dispositivo conserva, maggiore è l’impatto potenziale in caso di compromissione.
Windows al centro delle campagne
Quasi il 99% delle vittime individuate utilizza Windows. La ragione è strategica. Il sistema operativo domina il mercato PC, ospita i browser più diffusi e rappresenta l’ambiente ideale per campagne su larga scala ad alta redditività.
Gli attaccanti non scelgono una persona specifica. Selezionano un ecosistema con la maggiore probabilità di successo.
I tre profili più colpiti nel 2025
1. Utenti social, streaming ed e-commerce
Il gruppo più ampio riguarda utenti internet comuni. Solo i social media generano quasi 65 milioni di log collegati a piattaforme come Facebook, Instagram, Discord e X.
I servizi di streaming registrano circa 28 milioni di log, con piattaforme come Netflix, Disney+ e HBO. L’e-commerce conta altri 26 milioni di log, con domini come Amazon ed eBay.
In questi casi il valore risiede nella comodità. Sessioni salvate, pagamenti memorizzati e accessi automatici riducono le barriere per il criminale.
2. Gamer e piattaforme di gioco
Il secondo gruppo comprende i giocatori, con oltre 53 milioni di log rilevati. Le piattaforme più frequenti includono Roblox, Steam, Epic Games, Fortnite, Twitch, Riot Games e Minecraft.
Molti account includono metodi di pagamento e asset digitali di valore. L’infezione spesso nasce da mod, cheat o giochi crackati. In ambito familiare, un singolo download rischioso può compromettere un PC condiviso.
3. Professionisti IT e sviluppatori
Il terzo gruppo comprende professionisti IT e sviluppatori, con quasi 27 milioni di log. I dispositivi analizzati mostrano la presenza di strumenti di sviluppo, database e accesso remoto.
Tra i portali più sensibili emergono piattaforme cloud, repository di codice, servizi di collaborazione come Zoom, pagine di gestione router, portali HR e profili professionali come LinkedIn.
In questo scenario, un login sottratto può aprire l’accesso a infrastrutture aziendali, ambienti di sviluppo e sistemi interni. L’impatto supera il singolo utente e coinvolge intere organizzazioni.
Perché il comportamento conta più del profilo
L’analisi mostra un punto chiave: gli infostealer non selezionano una categoria sociale. Individuano abitudini prevedibili. Social login frequenti, acquisti online, download di mod o gestione di ambienti cloud seguono schemi ricorrenti.
Una volta ottenuta una sessione valida, l’attaccante può spostarsi tra account collegati con rapidità superiore alla capacità di reazione della vittima.
Ridurre il rischio senza cambiare stile di vita digitale
La mitigazione parte dagli account critici. Email principale e credenziali centrali devono integrare MFA e passkey. La protezione va estesa poi a servizi bancari, shopping e strumenti di lavoro.
Il browser richiede attenzione costante. Occorre rimuovere password obsolete, verificare sessioni attive e mantenere sistema operativo e software aggiornati.
Particolare cautela riguarda download sospetti. Qualsiasi software che richiede la disattivazione delle protezioni o propone launcher non ufficiali rappresenta un potenziale vettore di infezione.
Metodologia
La ricerca si basa sui dati raccolti tra il 1° gennaio e il 31 dicembre 2025. L’analisi ha riguardato i 10.000 domini più citati nei registri di infostealer a livello globale, con quasi 500 milioni di log esaminati.
L’evidenza suggerisce un cambiamento strutturale nel panorama delle minacce. Non esiste un identikit fisso della vittima. Esiste un modello di comportamento che, se ripetuto su larga scala, diventa economicamente interessante per l’ecosistema criminale digitale.
